Un ransomware cible les compartiments AWS S3 : comment empêcher le chiffrement sans possibilité de récupération.

Une nouvelle menace de ransomware, connue sous le nom de Codefinger, cible les utilisateurs des compartiments AWS S3. 

Les attaques par ransomware sont toujours graves, mais cette nouvelle forme de ransomware ne permet aucune récupération des données sans paiement une fois qu’elles ont été chiffrées. Cela place les organisations dans une situation sans issue et souligne la sophistication croissante des attaques par ransomware.

Continuez votre lecture pour en savoir plus sur l’attaque et comment votre organisation peut s’en prémunir. 

Qu’est-ce que ce nouveau ransomware ? 

Chaque objet dans un compartiment S3 a une clé unique (nom) qui l’identifie.

L’attaque de Codefinger exploite le chiffrement côté serveur d’AWS avec des clés fournies par le client (SSE-C) pour chiffrer les données et exiger un paiement pour les clés Advanced Encryption Standard (AES-256) nécessaires au déchiffrement. 

Il n’existe aucun moyen de récupérer les données sans paiement une fois qu’elles ont été chiffrées. Lorsque les données sont chiffrées à l’aide d’AES-256, il devient pratiquement impossible de les déchiffrer sans les clés correctes. Cela signifie que les organisations n’ont que peu d’options : payer la rançon ou perdre l’accès aux données critiques.

Il est important de noter que cette attaque n’exploite pas de vulnérabilité d’AWS, mais repose sur le fait qu’un utilisateur non autorisé obtienne les identifiants de compte d’un client AWS.

Comment fonctionne cette attaque ?  

• À l’aide de clés AWS divulguées publiquement ou compromises, l’acteur malveillant trouve des clés autorisées à exécuter les requêtes « s3:GetObject » et « s3:PutObject ».  

• Les fichiers sont ensuite chiffrés à l’aide de SSE-C avec une clé AES-256 générée par l’attaquant à la volée, nécessaire pour déchiffrer le fichier. Cette clé n’est pas stockée dans le cloud, donc il n’y a aucun moyen pour AWS de la récupérer.  

• L’acteur malveillant établit ensuite des politiques de cycle de vie pour la suppression des fichiers, en utilisant l’interface de gestion du cycle de vie des objets S3 pour accentuer l’urgence de la demande. 

• Une note de rançon est déposée dans chaque répertoire affecté, avertissant que toute modification des autorisations du compte ou des fichiers affectés mettra fin à toute négociation.  

Comment pouvez-vous prévenir cette menace ?  

Les étapes les plus importantes pour protéger votre environnement AWS et minimiser le risque de perte de données sont la mise en place d’identifiants à court terme, la surveillance des ressources AWS, l’utilisation de S3 Object Lock pour les informations critiques, le blocage de l’utilisation de SSE-C sauf si une application l’exige, l’utilisation de clés KMS spécifiques ou de clés SSE-S3, la gestion des versions et la sauvegarde de vos données S3 critiques, et la surveillance des identités lors de l’accès aux données. Ces mesures permettent de réduire le risque de compromission de votre environnement AWS.  

Comment Varonis vous aide avec les remédiations automatisées pour AWS 

Les capacités DSPM de Varonis détectent et corrigent automatiquement les problèmes critiques d’AWS qui peuvent mener à des attaques de ransomware et à des fuites de données. Varonis automatise des actions telles que l’application des politiques de mots de passe manquants, l’application de la propriété des objets S3, la suppression des utilisateurs et des rôles obsolètes, et la suppression des clés d’accès inactives.  

Bloquer automatiquement l’accès public aux compartiments S3. 

AWS offre aux organisations la flexibilité et la puissance nécessaires pour créer et multiplier rapidement les charges de travail de données cloud. Cependant, compte tenu de la complexité des politiques d’accès et des configurations, les risques critiques et les erreurs de configuration peuvent facilement passer inaperçus. Avec Varonis pour AWS, les équipes de sécurité peuvent automatiquement découvrir et classer les données sensibles et les charges de travail, corriger les erreurs de configuration, appliquer le principe du moindre privilège et détecter les menaces.  

Supprimer les utilisateurs, les rôles et les clés d’accès obsolètes 

Même en cas d’attaque par ransomware, la première étape pour les attaquants est le plus souvent de compromettre une identité, en utilisant des techniques éprouvées pour obtenir un accès, comme le hameçonnage et la pulvérisation de mots de passe. Une fois qu’ils ont des identifiants, ils ont accès à vos données. L’identité étant souvent le maillon faible, la première étape consiste à démêler les structures d’autorisations et à garantir que seules les personnes autorisées peuvent accéder aux fichiers, dossiers et boîtes de réception importants. Varonis maintient un inventaire complet des utilisateurs, des rôles et des clés d’accès dans votre environnement AWS et identifie quels sont les utilisateurs obsolètes, les comptes inactifs et les comportements anormaux qui indiquent une attaque, comme une escalade inattendue des privilèges. Ce contrôle granulaire permet de combler les lacunes en matière de désactivation des utilisateurs, d’identifier les menaces liées à l’identité et de réduire rapidement votre surface d’exposition.

Essayez Varonis pour AWS gratuitement

Disponible sur AWS Marketplace, la plateforme Varonis de sécurité des données aide les équipes de sécurité à surveiller et à améliorer en permanence leur niveau de sécurité des données en temps réel.