Mevcut bir fidye yazılımı kampanyası, Amazon S3 klasörlerindeki veri dökümlerini hedef alıyor. Saldırganlar, Müşteri Tarafından Sağlanan Anahtarlarla (SSE-C) Amazon'un AWS Sunucu Tarafı Şifrelemesini kullanıyor.
Duyuru
Halcyon bir analizde, siber suçluların AES-256 anahtarıyla şifrelenmiş verilerin şifresini çözmek için fidye talep ettiğini yazıyor. Özellikle şaşırtıcı olan, saldırganların AWS'deki herhangi bir güvenlik açığından yararlanmaması, bunun yerine normal Amazon AWS kimlik bilgilerini kullanmasıdır. Siber araştırmacılara göre bu taktik, fidye yazılımının yeteneklerinde önemli bir gelişmeyi temsil ediyor çünkü verileri kurtarmanın fidyeyi ödemekten başka bilinen bir yöntemi yok.
Mevcut kaynakların kullanımı
Ayrıca faillerin saldırıları için yerel kaynakları kötüye kullandığına da dikkat çekiyorlar. SSE-C kullanarak S3 klasörlerini şifrelemek için güvenliği ihlal edilmiş AWS anahtarlarını kullanıyorlar ve oluşturulan anahtar olmadan kurtarmayı imkansız hale getiriyorlar. AWS Cloudtrail yalnızca şifreleme anahtarlarının HMAC'sini kaydettiği için veri kaybı geri döndürülemez; bu da kurtarma veya adli analiz için yeterli değildir. Siber gangsterler ayrıca dosyaları yedi gün içinde silinmek üzere işaretleyerek baskı uyguluyor. Ödeme detaylarının yer aldığı şantaj notlarında failler, erişim haklarının değiştirilmemesi konusunda da uyarıda bulunuyor.
Kaspersky, bu fidye yazılımı kampanyasının bir parçası olarak karanlık ağı araştırdı ve yılın başından bu yana 100'den fazla benzersiz, güvenliği ihlal edilmiş Amazon AWS hesabı kimlik bilgilerini keşfetti. Rus antivirüs üreticisi, Darknet üzerinde Amazon'un AWS bulutuna genel olarak çok sayıda farklı erişim bulunduğunu söylüyor: “console.aws.amazon.com” URL'sine 18.000'den fazla hesap ve “.aws.amazon portalına 126.000'den fazla hesap bağlı” .com” ve 245.000'den fazlasının “signin.aws.amazon.com”a ait olduğu söyleniyor. Virüs araştırmacıları, bu bilgilerin genellikle bu tür verileri toplayan bilgi veya veri hırsızlarından geldiğini ekliyor. En yaygın olanları Lumma Stealer ve Redline'dır.
AWS ortamlarınızı güçlendirmek için Halcyon, politikalar kullanılarak SSE-C kullanımının sınırlandırılmasını önerir. Kuruluşlar ayrıca, örneğin gerekli minimum hakları yapılandırdıklarından emin olmak için AWS anahtarlarını düzenli olarak kontrol etmelidir. Kullanılmayan anahtarlar silinmeli ve aktif anahtarlar sık sık değiştirilmelidir. Gelişmiş günlük kaydının etkinleştirilmesi, toplu şifreleme veya ömür boyu politikalarda yapılan değişiklikler gibi olağandışı etkinliklerin ortaya çıkarılmasına yardımcı olur. AWS desteği ayrıca potansiyel güvenlik açıklarının belirlenmesine de yardımcı olur.
(Bilmiyorum)
Bir yanıt yazın