已经确定了一种新的勒索软件活动,该活动通过利用 AWS 的客户提供密钥的服务器端加密(SSE-C)来针对 Amazon S3 存储桶。以“Codefinger”为名的恶意行为者使用被泄露的 AWS 凭证,使用只有他们拥有的加密密钥加密 S3 存储桶中的数据,从而要求赎金以获得解密密钥。到目前为止,至少有两名受害者受到影响,但有人担心该行动可能会扩大或被其他威胁行为者模仿。Amazon S3 是 Amazon Web Services(AWS)的一部分,广泛用于安全且可扩展的云存储,SSE-C 允许客户使用自己的密钥进行数据加密。在此活动中,Codefinger 利用与被盗账户关联的“s3:GetObject”和“s3:PutObject”权限来加密数据,由于 AWS 的策略是不存储客户提供的加密密钥,因此在没有攻击者密钥的情况下无法恢复数据。威胁行为者使用 S3 对象生命周期管理 API 设置了为期 7 天的文件删除策略,并在所有受影响的目录中留下赎金记录。这些笔记指示受害者以比特币支付赎金以换取解密密钥,强调了加密的安全性,但无需他们合作即可恢复。这种使用 AWS 服务的新策略凸显了勒索软件攻击者用来利用云基础设施漏洞的不断发展的方法。来源
