Ransomware bende misbruikt AWS native encryptie
Een nieuwe, uiterst geavanceerde ransomware-bende genaamd Codefinger richt zich op Amazon Web Services (AWS) S3-buckets. Deze groep misbruikt de ingebouwde beveiligingsfunctie van AWS, Server-Side Encryption with Customer-Provided Keys (SSE-C), om de gegevens van slachtoffers te versleutelen en vervolgens losgeld te eisen.
Hoe werkt de aanval?
Codefinger verkrijgt toegang tot de cloudopslagbuckets van slachtoffers door middel van gestolen of publiekelijk toegankelijke AWS-sleutels. Vervolgens gebruiken ze deze sleutels om de gegevens te versleutelen met een door henzelf gegenereerde AES-256-encryptiesleutel. Omdat AWS deze sleutel niet opslaat, zijn de slachtoffers volledig afhankelijk van de aanvallers om hun gegevens weer te kunnen gebruiken.
Naast het versleutelen van de gegevens, programmeert Codefinger ook de automatische verwijdering van de bestanden binnen een week, tenzij het losgeld wordt betaald. Dit betekent dat slachtoffers niet alleen worden geconfronteerd met het verlies van hun data, maar ook met de mogelijkheid dat deze permanent worden verwijderd.
Wat deze aanvallen bijzonder maakt, is het gebruik van de eigen beveiligingsmechanismen van AWS tegen de eigenaar. Door SSE-C te misbruiken, maken de aanvallers het voor de slachtoffers bijna onmogelijk om hun gegevens zelf te herstellen. Daarnaast is de dreiging van datavernietiging een nieuwe en zorgwekkende ontwikkeling in de wereld van ransomware.
Risico voor organisaties
Volgens beveiligingsexperts vormt deze aanpak een aanzienlijk risico voor organisaties die afhankelijk zijn van AWS S3 voor de opslag van kritieke gegevens. Het benadrukt het belang van strenge beveiligingsprocedures en het regelmatig controleren van de toegang tot cloudomgevingen.
Wat kunnen organisaties doen?
- Regelmatig beveiligingsscans uitvoeren: Identificeer en verhelp kwetsbaarheden in uw AWS-omgeving.
- Sterke toegangsbeheer implementeren: Beperk de toegang tot AWS-resources tot een minimum en gebruik multi-factor authenticatie.
- Regelmatig back-ups maken: Zorg ervoor dat u regelmatige back-ups maakt van uw gegevens, en bewaar deze op een veilige, offline locatie.
- Wees alert op phishing-aanvallen: Phishing is een veelgebruikte methode om aan inloggegevens te komen. Train uw medewerkers om phishing-e-mails te herkennen.
Conclusie
De opkomst van ransomware-bendes zoals Codefinger toont aan dat cybercriminelen steeds geavanceerder worden in hun aanpak. Organisaties moeten proactief maatregelen nemen om zich te beschermen tegen deze dreigingen.
Dutch IT events
Alle events
