O time de pesquisa e inteligência da Halcyon reportou um novo ransomware “impossível” de descriptografar. A campanha tem como alvo clientes dos serviços do Amazon Web Services.

Diferente de ransomwares comuns, que criptografam arquivos locais ou em trânsito, o novo ataque aproveita a infraestrutura de criptografia do AWS (SSE-C) para trancar os dados com chaves simétricas AES-256. Dessa forma, se torna impossível (ou muito difícil) descriptografar o conteúdo sem a chave do atacante, explicaram os pesquisadores.

Essa nova campanha não abusa de qualquer vulnerabilidade da AWS, mas consegue acessar contas de vítimas por meio de credenciais fracas ou anteriormente expostas.

O ataque ransomware Codefinger aproveita senhas fracas ou anteriormente expostas para obter acesso aos arquivos das vítimas. (Fonte: GettyImages)  GettyImages O ataque ransomware Codefinger aproveita senhas fracas ou anteriormente expostas para obter acesso aos arquivos das vítimas. (Fonte: GettyImages)

“Esse é um bom exemplo de quando a reutilização de senhas, palavras-chave fáceis de acessar ou a falta de autenticação de dois fatores, darão o troco ao administrador”, pontuou o gerente de produto sênior da Specops Software, Darren James, à Forbes.

Segundo os pesquisadores, o novo ataque ransomware é conhecido como Codefinger. O primeiro report dos pesquisadores da Halcyon aconteceu na segunda-feira (13).

“Caso se espalhe rapidamente, o ransomware poderia representar uma ameaça sistêmica para organizações que usam AWS S3 para armazenamento de dados críticos”, pontuaram os pesquisadores.

Fluxo de ataque do Codefinger

O fluxo de ataque do Halcyon acontece da seguinte forma:

  1. São identificadas chaves AWS disponíveis publicamente ou expostas anteriormente;
  2. Os arquivos são criptografados usando SSE-C com uma chave de criptografia AES-256 gerada e armazenada localmente;
  3. São definidas as políticas para exclusão de arquivos, geralmente de 7 dias, usando o S3 Object Lifecycle Management;
  4. Adiciona uma anotação em cada diretório afetado informando que qualquer mudança de permissão ou arquivos causa o fim das negociações.

Pronunciamento da Amazon

Em contato com a Forbes, um porta-voz da Amazon afirma que a empresa “ajuda consumidores a manter seus recursos em nuvem seguros com base em um modelo de responsabilidade compartilhada”, ou seja, a empresa avisa se as chaves de acesso são expostas de alguma forma.

Além disso, a empresa também promete investigar todas as denúncias de chaves expostas e tomar rapidamente as ações necessárias. “Nós encorajamos que todos os consumidores sigam as melhores práticas de segurança, identificação e compliance”.


Previous post 10 filmes e séries em alta na Netflix para ver no fim de semana! Veja indicações
Next post Bill Gates é culpado por fiasco da Microsoft no mobile, diz criador do Android

Mais Histórias