A equipe de pesquisa e inteligência da Halcyon identificou um novo ransomware “incapaz” de ser decodificado. O público-alvo da campanha são os usuários dos serviços do Amazon Web Service.
Ao contrário dos ransomwares tradicionais, que codificam arquivos locais ou em movimento, o novo ataque utiliza a infraestrutura de criptografia da AWS (SSE-C) para bloquear os dados com chaves simétricas AES-256. Assim, é inviável (ou extremamente complicado) descriptografar o conteúdo sem a chave do atacante, conforme explicado pelos pesquisadores.
Esta nova campanha não explora nenhuma vulnerabilidade da AWS, porém consegue acessar as contas das vítimas através de senhas fracas ou anteriormente expostas.
“Esse é um bom exemplo de quando a reutilização de senhas, palavras-chave fáceis de acessar ou a falta de autenticação de dois fatores, darão o troco ao administrador”, pontuou o gerente de produto sênior da Specops Software, Darren James, à Forbes.
Segundo os pesquisadores, o novo ataque ransomware é conhecido como Codefinger. O primeiro report dos pesquisadores da Halcyon aconteceu na segunda-feira (13).
“Caso se espalhe rapidamente, o ransomware poderia representar uma ameaça sistêmica para organizações que usam AWS S3 para armazenamento de dados críticos”, pontuaram os pesquisadores.
O fluxo de ataques do Halcyon ocorre da seguinte maneira:
Identificam-se chaves AWS que estão disponíveis ao público ou que já foram divulgadas anteriormente.
Os documentos são codificados com SSE-C, utilizando uma chave de criptografia AES-256 criada e mantida localmente;
Estabelecem-se as diretrizes para a eliminação de arquivos, normalmente com um prazo de 7 dias, através do S3 Object Lifecycle Management;
Insere uma nota em cada diretório impactado, indicando que qualquer alteração nas permissões ou nos arquivos resulta no término das negociações.
Em contato com a Forbes, um porta-voz da Amazon afirma que a empresa “ajuda consumidores a manter seus recursos em nuvem seguros com base em um modelo de responsabilidade compartilhada”, ou seja, a empresa avisa se as chaves de acesso são expostas de alguma forma.
Além disso, a empresa também promete investigar todas as denúncias de chaves expostas e tomar rapidamente as ações necessárias. “Nós encorajamos que todos os consumidores sigam as melhores práticas de segurança, identificação e compliance”.
