Flash Infos : Nouvelle attaque par rançongiciel Codefinger ciblant des clés Amazon Web Services compromises

Le 13 janvier, des chercheurs de la plateforme anti-rançongiciel Halcyon ont révélé qu’un acteur malveillant surnommé Codefinger exploite des clés Amazon Web Services (AWS) compromises pour chiffrer des données dans des compartiments S3. Les victimes sont ensuite menacées de suppression définitive des données si une rançon n’est pas payée dans un délai d’une semaine.

Une évolution inquiétante

Les attaques par rançongiciel conventionnelles chiffrent les fichiers localement ou en transit. Cependant, ce qui distingue cette campagne — et la rend particulièrement préoccupante — c’est qu’elle n’exploite pas une vulnérabilité d’AWS à proprement parler. Au lieu de cela, elle utilise une clé compromise disposant d’autorisations d’écriture pour chiffrer les données, en tirant parti de la fonctionnalité de chiffrement intégrée à AWS afin de verrouiller l’accès aux informations critiques.

Une fois les données chiffrées, leur récupération est impossible sans la clé de l’attaquant. En outre, les preuves dans les journaux sont limitées, car AWS CloudTrail ne capture que le code HMAC (Hash-Based Message Authentication Code) de la clé de chiffrement, insuffisant pour la récupération ou l’analyse médico-légale. Les chercheurs d’Halcyon avertissent que si cette nouvelle méthode se généralise, elle pourrait représenter une menace systémique majeure pour les organisations utilisant Amazon S3 pour le stockage de données critiques.

Comment fonctionne l’attaque

L’attaque se déroule en quatre étapes :

• L’attaquant analyse les clés AWS compromises et publiquement divulguées, et identifie celles ayant les permissions pour exécuter les requêtes s3:GetObject et s3:PutObject.
• L’attaquant chiffre les fichiers en utilisant le chiffrement côté serveur d’AWS avec des clés fournies par le client (SSE-C).
• Les fichiers sont marqués pour suppression sous sept jours grâce à l’API de gestion du cycle de vie des objets S3.
• Les victimes trouvent une note dans chaque répertoire affecté, exigeant un paiement en bitcoin sous sept jours. La note avertit également que toute modification des permissions du compte ou des fichiers déclenchera immédiatement la suppression.

Atténuation de la menace

Les organisations exposées sont invitées à prendre immédiatement les mesures d’atténuation suivantes :

• Utilisez l’élément Condition dans les politiques Identity and Access Management (IAM) pour bloquer l’application de SSE-C aux compartiments S3. Des configurations supplémentaires peuvent être réalisées pour restreindre cela aux données et utilisateurs autorisés.
• Activez une journalisation détaillée des opérations S3 afin de détecter des activités inhabituelles (par exemple, un chiffrement massif ou des modifications des politiques de cycle de vie).
• Utilisez le service AWS Security Token Service (AWS STS) pour émettre des informations d’identification de sécurité temporaires. Ce service contrôle l’accès aux ressources AWS sans distribuer ni intégrer de clés de sécurité AWS à long terme dans une application.
• Révisez régulièrement les permissions pour toutes les clés AWS et vérifiez qu’elles disposent uniquement des accès minimums nécessaires.
• Désactivez les clés inutilisées et effectuez une rotation fréquente des clés actives.
• Utilisez le service AWS Secrets Manager pour créer, gérer, récupérer et faire pivoter automatiquement les identifiants non-AWS (par exemple, noms d’utilisateur et mots de passe de bases de données) tout au long de leur cycle de vie.
• Contactez directement le support AWS qui, en réponse à l’attaque Codefinger, a publié un nouveau bulletin dans sa base de connaissances intitulé « Que puis-je faire si je remarque une activité non autorisée sur mon compte AWS? »

Conclusions et conseils

Nous savons tous que les acteurs malveillants reproduisent ce qui fonctionne, et il est donc raisonnable de craindre que ce type d’attaque par rançongiciel devienne bientôt courant. En fait, ce qui est peut-être le plus surprenant, c’est qu’ils aient mis autant de temps à tenter cette méthode, étant donné que SSE-C est disponible depuis 2014.

Ce développement souligne l’importance cruciale pour les organisations utilisant Amazon S3 pour le stockage de données de sécuriser correctement leurs clés AWS ou jetons d’accès. De plus, tous les principaux fournisseurs de services infonuagique proposent des fonctionnalités de chiffrement côté client similaires, qui pourraient être exploitées.

La conclusion plus large et l’implication de cette attaque nous rappellent clairement que personne n’est entièrement à l’abri des attaques par ransomware. Il est donc crucial pour les organisations de prendre des mesures afin de réduire la probabilité d’exposition et de minimiser les risques. Cette approche devrait inclure :

• Limiter l’accès à la gestion des clés : Restreindre qui et quoi peut accéder aux clés de chiffrement.
• Respecter le principe du moindre privilège : S’assurer que les clés ne disposent que des autorisations minimales nécessaires à leur objectif.
• Réduire la surface d’attaque : Passer régulièrement en revue et diminuer l’accès externe à vos ressources cloud.

En outre, nous exhortons toutes les organisations – y compris celles qui ne sont pas exposées à l’attaque Codefinger ou à d’autres attaques utilisant une méthode similaire – à appliquer et faire respecter des politiques strictes de contrôle d’accès et de gestion des privilèges, ce qui peut réduire considérablement les dommages causés par les attaques par rançongiciel. Les organisations souhaitant en savoir plus sur la réalisation de cet objectif critique sont invitées à explorer Devolutions PAM, qui offre une robustesse de niveau entreprise dans une solution adaptée aux PME, combinant facilité d’utilisation et évolutivité. Découvrez-en plus sur Devolutions PAM.