A quanto pare c’è una nuova minaccia i servizi cloud. Si tratta di Codefinger, un ransomware utilizza le chiavi di accesso AWS compromesse per crittografare i dati su Amazon S3, rendendoli inaccessibili alle vittime. Il metodo sfrutta una funzione di sicurezza nativa di AWS, senza violarne il sistema. Le aziende devono adottare strategie avanzate per prevenire e rilevare queste minacce.
Come funzionano gli attacchi ransomware di Codefinger
A differenza dei ransomware tradizionali, Codefinger non si limita a cifrare i file locali, ma agisce direttamente nel cloud. Gli aggressori accedono ai bucket S3 tramite credenziali rubate e usano la cifratura lato server con chiavi fornite dal cliente (SSE-C). In questo modo, solo loro possiedono le chiavi di decifratura. Per aumentare la pressione sulle vittime, impostano una scadenza di eliminazione dei dati e rilasciano richieste di riscatto.
L’attacco segue un preciso schema:
- Accesso iniziale con credenziali AWS compromesse.
- Scansione dei bucket S3 per individuare i dati.
- Cifratura dei file con chiavi generate dagli hacker.
- Modifica delle policy di ciclo di vita, segnando i file per la cancellazione.
- Rilascio di una nota di riscatto, con istruzioni per il pagamento.
Perché la prevenzione non basta (e come proteggersi)
AWS consiglia diverse misure di sicurezza per limitare il rischio di attacchi:
- Usare credenziali a breve termine, evitando chiavi di accesso statiche.
- Attivare la versioning e il blocco degli oggetti nei bucket S3 per impedire modifiche irreversibili.
- Limitare l’uso di SSE-C con policy IAM per evitare che gli attaccanti sfruttino la cifratura personalizzata.
- Gestire le chiavi con AWS KMS, centralizzando il controllo sugli accessi.
- Monitorare le attività con AWS CloudTrail, configurando allarmi per azioni sospette come cifrature massive o modifiche delle policy.
Questi accorgimenti riducono il rischio, ma non eliminano la possibilità di attacchi. Gli hacker possono aggirare le protezioni sfruttando configurazioni errate o accessi compromessi.
Vectra AI ci spiega che per difendersi da Codefinger le aziende devono adottare soluzioni avanzate di rilevamento e risposta. Tra le migliori pratiche:
- Identificare attività sospette come scansioni dei bucket o escalation di privilegi.
- Usare analisi comportamentale per individuare pattern anomali nei log di AWS.
- Automatizzare la risposta agli incidenti, isolando account compromessi e bloccando operazioni dannose.
- Mitigare i danni dopo un attacco, monitorando eventuali movimenti laterali degli aggressori.
Un approccio che combina prevenzione, monitoraggio continuo e risposta rapida è essenziale per proteggere i dati nel cloud da minacce sempre più sofisticate.
- ALEXA PUÒ MOSTRARTI MOLTE COSE: Echo Show 5 è dotato di uno schermo da 5,5", per controllare a colpo d’occhio il meteo e le ultime notizie, fare videochiamate, visualizzare le videocamere compatibili, ascoltare musica e programmi in streaming, e molto altro.
- PICCOLE DIMENSIONI, MIGLIORI PRESTAZIONI AUDIO: ascolta la tua musica o i tuoi podcast preferiti, guarda le serie TV che ami e molto altro su Amazon Music, Spotify, Prime Video o altri servizi, ora con bassi ancora più profondi e voci più nitide. Questo dispositivo è dotato di uno schermo da 5,5’’, per guardare a colpo d’occhio serie TV, titoli di canzoni e molto altro.
- LA TUA CASA GESTITA IN TUTTA COMODITÀ: controlla i dispositivi per Casa Intelligente, come lampadine e termostati, anche quando non sei in casa.
- VEDI ANCORA DI PIÙ CON LA VIDEOCAMERA INTEGRATA: controlla come sta la tua famiglia, i tuoi animali domestici e molto altro con la videocamera integrata. Effettua chiamate Drop In quando non sei a casa o monitora la porta d’ingresso dal tuo Echo Show 5, grazie ai videocitofoni compatibili.
- UTILIZZA LE TUE FOTO COME SFONDO: quando il dispositivo non è in uso, grazie ad Amazon Photos le tue foto possono scorrere sullo schermo del dispositivo. I membri Prime possono archiviare illimitate foto nel Cloud.
