Recherche

Le chiffrement d'AWS mis à profit par un ransomware

Un ransomware cible des buckets S3 en utilisant une fonctionnalité native d'AWS : le chiffrement côté serveur avec des clés fournies par le client.

Publié par le - mis à jour à
Lecture
2 min
  • Imprimer
Le chiffrement d'AWS mis à profit par un ransomware
© généré par IA

Connaissez-vous Codefinger ?

Un fournisseur américain de solutions de cybersécurité a donné ce nom à un acteur de la menace... dont il ne sait pas grand-chose. Il l'a associé à deux attaques avérées*, fondées sur un mode opératoire particulier : l'utilisation d'un service AWS pour chiffrer des buckets S3. En l'occurrence, SSE-C (chiffrement côté serveur avec des clés fournies par le client).

L'attaque a un prérequis, et pas des moindres : s'être procuré des authentifiants - permettant de lire et d'écrire des objets S3 (requêtes GET et PUT). Le chiffrement peut alors être lancé, avec une clé AES-256 générée et stockée en local. Celle-ci ne peut être récupérée à partir de ce que journalise CloudTrail (un code d'authentification de message avec salage aléatoire).

Pour mettre les victimes sous pression, la suppression des fichiers affectés est programmée sous 7 jours. La note de rançon comprend, en plus d'une adresse Bitcoin et d'un "ID client", un avertissement : toute tentative de modifier les permissions du compte utilisé entraînera une rupture des négociations.

En réaction à cette découverte, AWS rappelle son modèle de responsabilité partagée. Il réaffirme notifier les clients en cas d'exposition de leur authentifiants et leur donner l'outillage nécessaire pour éliminer le besoin d'en intégrer "en dur" dans du code source ou des fichiers de configuration.

* Ces attaques ont ciblé des développeurs de solutions natives à AWS.

Illustration générée par IA

Livres Blancs

Voir tous les livres blancs

Vos prochains événements

Voir tous les événements

Voir tous les événements

S'abonner
au magazine
Se connecter
Retour haut de page