0
0
Por Todd Moore | Vice President, Data Security Products da Thales
Uma gangue sofisticada de ransomware, chamada Codefinger, desenvolveu uma nova técnica astuta para criptografar dados armazenados em buckets AWS S3 sem usar ferramentas tradicionais de ransomware. Em vez disso, eles exploram a criptografia do lado do servidor AWS com chaves fornecidas pelo cliente (SSE-C), extorquindo o pagamento em troca da chave de criptografia.
Diferentemente do ransomware convencional, os agentes maliciosos não exfiltram nenhum dado. Em vez disso, marcam os arquivos criptografados para exclusão em até sete dias, colocando as organizações sob pressão para pagar o resgate ou perder os dados para sempre.
Antes de discutirmos os detalhes do ataque, é importante notar que ataques semelhantes podem ocorrer em qualquer ambiente de nuvem fora do seu controle; portanto, as lições aprendidas se aplicam a todas as suas implementações na nuvem.
Como o Ataque Funciona
O ataque começa com o malfeitor obtendo credenciais AWS comprometidas—que podem ter sido roubadas ou vazadas inadvertidamente—dando as permissões necessárias para ler e escrever objetos nos buckets S3 da vítima. Este é um ponto de entrada crítico porque chaves mal seguras ou com permissões excessivas concedem aos maus atores a base necessária para realizar os ataques.
Uma vez dentro, a gangue inicia o processo de criptografia explorando o cabeçalho x-amz-server-side-encryption-customer-algorithm dentro da AWS. Especificamente, eles geram uma chave personalizada do algoritmo Advanced Encryption Standard (AES-256), que é armazenada localmente pelos atacantes e não compartilhada com a AWS. Isso torna a chave completamente inacessível à entidade visada.
Quando os atores de ameaça invocam o recurso de criptografia do lado do servidor AWS com chaves fornecidas pelo cliente (SSE-C), o processo de criptografia ocorre inteiramente dentro do ambiente AWS.
Aqui é onde o ataque se torna particularmente insidioso: a AWS processa a solicitação de criptografia usando a chave fornecida, mas não retém a chave em si. Em vez disso, ela registra um código de autenticação de mensagem baseado em hash (HMAC) no AWS CloudTrail, que verifica a solicitação de criptografia que aconteceu, mas não pode ser usado para reconstruir a chave de criptografia.
Instigando um Sentimento de Urgência
Como resultado, a empresa perde o acesso aos seus dados, a menos que tenha um backup. Para criar um senso de urgência, os criminosos marcam os arquivos criptografados para exclusão dentro de sete dias, transformando o processo de criptografia em uma bomba-relógio.
Além disso, durante as negociações de resgate, a Codefinger avisa explicitamente as vítimas para não alterarem as permissões da conta ou tentarem contra-medidas, pois quaisquer mudanças podem resultar na interrupção da comunicação pelos maus atores, deixando a vítima com dados criptografados e sem chave de descriptografia.
O que torna esse método particularmente eficaz é a falta de exfiltração de dados. Ao depender apenas da criptografia, o fraudador pode contornar todos os mecanismos de detecção e limitar sua atividade ao ambiente AWS da vítima, restringindo as chances de alertas externos.
Evite se Tornar uma Vítima
Entidades que dependem de buckets AWS S3 devem tomar medidas proativas para mitigar os riscos de ataques dessa natureza antes que ganhem força.
As entidades devem implementar medidas de segurança robustas para mitigar o risco desse tipo de ataque. Restringir as políticas do IAM usando o elemento Condition pode evitar o uso não autorizado do SSE-C, limitando esse recurso a usuários e dados específicos.
Fortalecer as práticas de gerenciamento de chaves também é essencial. As permissões das chaves AWS devem ser revisadas regularmente para garantir que concedem apenas o acesso mínimo necessário. Desabilitar chaves não usadas e rotacionar as ativas com frequência limita o risco de comprometimento.
Ativar logs detalhados e monitoramento para todas as operações S3 também ajuda a detectar atividades incomuns rapidamente, permitindo que as empresas respondam de maneira eficaz e reduzam danos potenciais.
Uma Aposta Perigosa
As empresas também são aconselhadas a usar as proteções integradas da AWS, com a ressalva de que essas não são infalíveis por si só. A AWS coloca em quarentena as chaves de clientes expostas publicamente para limitar sua usabilidade, mas salvaguardas adicionais também são necessárias.
Se houver algo a se aprender com esse recente ataque, é uma lição crítica: confiar nas provisões de segurança integradas dos provedores de nuvem, assumindo que são “boas o suficiente”, é uma aposta perigosa. As organizações são legalmente responsáveis pela segurança de seus dados, onde quer que estejam armazenados, e precisam começar a agir como tal.
Armazenar as chaves de criptografia externamente, separadas dos dados que protegem, reduz drasticamente o risco de acesso não autorizado. Mesmo que um servidor seja comprometido, as chaves permanecem seguras em um módulo de segurança de hardware (HSM) externo ou sistema de gerenciamento de chaves. Muitas regulamentações e padrões exigem um controle rigoroso sobre as chaves de criptografia. Utilizar o gerenciamento externo de chaves ajuda as organizações a atenderem a esses requisitos de conformidade, garantindo que as chaves sejam gerenciadas e armazenadas com segurança.
Nunca é “Bom o Suficiente”
As organizações nunca devem adotar uma abordagem de “bom o suficiente” para a segurança. Essa noção é falha e assume que o cenário de ameaças é estático. As ameaças cibernéticas estão em constante evolução, e as medidas de segurança devem ser robustas e adaptáveis para enfrentar novas vulnerabilidades. As organizações frequentemente acreditam erroneamente que os CSPs protegem totalmente seus dados. No entanto, os CSPs geralmente oferecem medidas de segurança básicas e não assumem responsabilidade pela proteção dos dados de seus clientes—apenas pelo acesso a eles. Isso é responsabilidade da organização.
Uma segurança eficaz requer uma abordagem de ponta a ponta, integrando medidas de segurança em cada etapa do manuseio de dados. Confiar exclusivamente na segurança do CSP pode deixar lacunas que os atacantes podem explorar—e as organizações são responsáveis.
As ofertas de Gerenciamento de Chaves da Thales agilizam e fortalecem o gerenciamento de chaves em ambientes de nuvem e corporativos em uma ampla gama de casos de uso. Ao aproveitar os dispositivos virtuais ou de hardware compatíveis com o FIPS 140-2, as ferramentas e soluções de gerenciamento de chaves da Thales oferecem alta segurança para ambientes sensíveis e centralizam o gerenciamento de chaves para suas criptografias próprias e aplicações de terceiros. Isso dá maior controle sobre suas chaves, aumentando a segurança dos dados.
Esse artigo tem informações retiradas do blog da Thales. A Neotel é parceira da Thales e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.