0
0
Por Todd Moore | Vice President, Data Security Products da Thales
Uma gangue sofisticada de ransomware, chamada Codefinger, desenvolveu uma nova técnica para criptografar dados armazenados em buckets do AWS S3 sem utilizar ferramentas tradicionais de ransomware. Em vez disso, eles exploram a criptografia do lado do servidor da AWS com chaves fornecidas pelo cliente (SSE-C) e exigem pagamento em troca da chave de criptografia.
Diferente dos ataques convencionais, esses criminosos não extraem dados. Em vez disso, marcam os arquivos criptografados para exclusão em sete dias, pressionando as empresas a pagar o resgate ou perder seus dados para sempre.
Antes de detalharmos o ataque, é essencial destacar que ataques semelhantes podem ocorrer em qualquer ambiente de nuvem fora do seu controle. Portanto, as lições aprendidas aqui devem ser aplicadas a todas as suas implantações na nuvem.
Como o ataque funciona
O ataque começa quando os invasores obtêm acesso a credenciais comprometidas da AWS—que podem ter sido roubadas ou vazadas acidentalmente—permitindo que leiam e gravem objetos nos buckets S3 da vítima. Esse é um ponto de entrada crítico, pois chaves mal protegidas ou excessivamente permissivas oferecem a brecha necessária para a invasão.
Uma vez dentro, a gangue inicia o processo de criptografia explorando o cabeçalho x-amz-server-side-encryption-customer-algorithm da AWS. Eles geram uma chave personalizada de criptografia AES-256, armazenada localmente pelos criminosos e nunca compartilhada com a AWS. Isso a torna completamente inacessível para a empresa atacada.
Quando os criminosos ativam a criptografia do lado do servidor da AWS com chaves fornecidas pelo cliente (SSE-C), todo o processo ocorre dentro do ambiente da AWS.
Aqui está o aspecto mais insidioso do ataque: a AWS processa a solicitação de criptografia usando a chave fornecida, mas não a armazena. Em vez disso, apenas registra um código de autenticação de mensagem baseado em hash (HMAC) no AWS CloudTrail, que confirma que a criptografia ocorreu, mas não pode ser usado para reconstruir a chave.
Criando um senso de urgência
Como resultado, a empresa perde acesso aos seus dados, a menos que tenha um backup. Para aumentar a pressão, os criminosos marcam os arquivos criptografados para exclusão em sete dias, transformando a criptografia em uma bomba-relógio.
Durante as negociações do resgate, o grupo Codefinger adverte explicitamente as vítimas para não alterarem permissões de conta ou tentarem medidas defensivas. Qualquer mudança pode levar os criminosos a interromperem a comunicação, deixando a vítima com os dados criptografados e sem a chave para recuperação.
O que torna essa técnica particularmente eficaz é a ausência de exfiltração de dados. Como os criminosos dependem apenas da criptografia, conseguem escapar dos mecanismos tradicionais de detecção e limitam sua atividade ao ambiente AWS da vítima, reduzindo as chances de alertas externos.
Como evitar ser vítima desse ataque
Empresas que utilizam buckets do AWS S3 devem tomar medidas preventivas para mitigar os riscos antes que esse tipo de ataque se torne ainda mais comum.
Algumas estratégias incluem:
- Restringir políticas de IAM: O uso do elemento Condition pode evitar o uso não autorizado do SSE-C, limitando essa funcionalidade a usuários e dados específicos.
- Fortalecer a gestão de chaves: As permissões das chaves da AWS devem ser revisadas regularmente para garantir que concedem apenas o acesso mínimo necessário. Desativar chaves não utilizadas e rotacionar as ativas com frequência reduz o risco de comprometimento.
- Monitoramento detalhado: Habilitar logs detalhados para todas as operações no S3 ajuda a detectar atividades incomuns rapidamente, permitindo uma resposta rápida e minimizando danos.
Uma aposta perigosa
As empresas também devem utilizar as proteções nativas da AWS, embora essas medidas sozinhas não sejam infalíveis. A AWS pode isolar chaves expostas publicamente para limitar seu uso, mas são necessárias camadas adicionais de segurança.
Se há algo que esse ataque deixa claro, é que confiar apenas nas proteções padrão dos provedores de nuvem é um risco perigoso. As empresas são legalmente responsáveis pela segurança de seus dados, independentemente de onde estejam armazenados, e devem agir de acordo.
Armazenar chaves de criptografia externamente, separadas dos dados que protegem, reduz drasticamente o risco de acesso não autorizado. Mesmo se um servidor for comprometido, as chaves permanecerão seguras dentro de um módulo de segurança de hardware (HSM) ou um sistema de gerenciamento de chaves (KMS). Muitas regulamentações exigem um controle rigoroso sobre chaves de criptografia, e utilizar uma gestão externa de chaves ajuda a cumprir esses requisitos.
Nunca assuma que sua segurança é “boa o suficiente”
Nenhuma empresa deve adotar uma abordagem de segurança baseada no conceito de “bom o suficiente”. Esse pensamento pressupõe que o cenário de ameaças é estático, o que está longe da realidade. As ameaças cibernéticas estão sempre evoluindo, e as medidas de segurança precisam ser robustas e adaptáveis para lidar com novas vulnerabilidades.
Muitas organizações acreditam, erroneamente, que os provedores de nuvem protegem totalmente seus dados. No entanto, os CSPs (Cloud Service Providers) geralmente oferecem apenas medidas básicas de segurança e não assumem responsabilidade pela proteção dos dados dos clientes—apenas pelo acesso a eles. Essa responsabilidade cabe às empresas.
A segurança eficaz requer uma abordagem de ponta a ponta, incorporando medidas de proteção em todas as fases do ciclo de vida dos dados. Confiar exclusivamente na segurança do CSP pode deixar brechas que os criminosos podem explorar—e a responsabilidade recairá sobre a organização.
As soluções de gerenciamento de chaves da Thales fortalecem a proteção de chaves tanto em ambientes de nuvem quanto on-premise, atendendo a uma ampla variedade de casos de uso. Com ferramentas compatíveis com o padrão FIPS 140-2, a Thales oferece maior controle sobre suas chaves, aprimorando a segurança dos seus dados e centralizando o gerenciamento de chaves para criptografia própria e aplicativos de terceiros.
Esse artigo tem informações retiradas do blog da Thales. A Neotel é parceira da Thales e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.