Un nouveau ransomware profite de la négligence des utilisateurs et utilisatrices AWS pour semer le chaos dans des buckets S3. Si vous avez un doute sur l'intégrité de vos clés, mieux vaut les renouveler sans attendre.
Une nouvelle menace plane sur les utilisateurs et utilisatrices d’AWS : un gang de cybercriminels baptisé Codefinger utilise l’infrastructure sécurisée du cloud lui-même pour chiffrer les données stockées dans des buckets S3. Et comme si ça n’était pas suffisant, le ransomware, qui exploite des clés compromises ou exposées, pousse la pression encore plus loin en programmant la destruction des fichiers sous sept jours si la rançon n’est pas payée. Une tactique inédite qui pourrait bouleverser la sécurité des environnements cloud.
La sécurité AWS détournée : à qui la faute ?
Comme souvent dans ce genre de scénario, l’erreur humaine est à l’origine de la catastrophe. Car si Codefinger a pu mener de telles attaques inattendues, c’est bien parce que les membres du groupe ont pu mettre la main sur des clés AWS compromises (fuites et/ou mauvaises configurations de sites). Permissions de lectures et d’écritures des buckets S3 concernés en poche, il n’en a pas fallu beaucoup plus pour que les attaquants mettent au point un modus operandi bien ficelé.
Car là où n’importe quel gang de ransomware lambda aurait mis en place son propre mécanisme de chiffrement pour verrouiller l’accès aux données, Codefinger a préféré faire preuve d’originalité. Une fois infiltré dans les comptes compromis, les hackers ont détourné une fonction native d’AWS, le chiffrement côté serveur avec clé client (SSE-C), pour générer leurs propres clés AES-256 légitimes, et chiffrer les fichiers de l’intérieur.
Problème : si le cloud sécurisé d’Amazon traite ces clés pendant le chiffrement des données, il ne les stocke pas. Une mesure de sécurité évidente en temps normal, mais qui complique sérieusement les choses dans le cas des attaques menées par Codefinger. Sans clé, pas de déchiffrement possible.
24 octobre 2024 à 11h20
L’histoire aurait pu s’arrêter là, mais Codefinger avait manifestement plus d’un tour dans son sac. En marge du chiffrement des données, le groupe a procédé à l’activation de l’API de gestion du cycle de vie des fichiers S3 pour programmer leur suppression automatique au bout d’une semaine. En clair, si les victimes tiennent à récupérer leurs fichiers, il faudra payer sous sept jours. Dans le cas contraire, les fichiers verrouillés seront intégralement détruits. Un parti pris pirate plutôt rare, alors que les gangs de ransomware se contentent généralement de menacer de vendre ou publier les données prises en otage.
Interrogée par The Register au sujet de ces attaques – qui ont pour le moment piégé deux entreprises dont l’identité n’a pas été révélée –, Amazon a confirmé être au courant du problème. La société a affirmé qu’elle notifiait systématiquement ses clients en cas de clés exposées, et qu’elle continuait d’appliquer des politiques de quarantaine pour limiter les risques. En bref, si victimes il y a eu, c’est qu’elles n’ont a priori pas tenu compte des alertes générées par AWS.
Comment bien sécuriser vos données dans le cloud ?
Si l’attaque de Codefinger témoigne d’un haut degré de sophistication, il existe heureusement des mesures concrètes pour tenter de limiter les risques et protéger vos données dans le cloud. Examinez minutieusement les permissions, désactivez sans attendre les clés inutilisées, et veillez à renouveler régulièrement celles qui restent actives.
Avec des politiques IAM adaptées, vous pouvez limiter cette fonctionnalité aux seuls utilisateurs et applications autorisés, ce qui devrait complexifier son détournement par des acteurs malveillants.
Gardez aussi en tête que les outils fournis par AWS peuvent renforcer considérablement la sécurité de vos accès. Les rôles IAM, associés au Security Token Service (STS), permettent de générer des identifiants temporaires, éliminant le besoin de stocker des clés à long terme dans le code ou les fichiers de configuration.
Enfin, dernier conseil et non des moindres : ne payez jamais une rançon exigée par des hackers. Rien ne garantit que les fichiers restitués seront intacts – si tant est que vous les récupériez un jour.
Source : The Register
30 décembre 2024 à 11h04
