Se défendre contre le ransomware Codefinger dans AWS S3

28 janvier 2025

Se défendre contre le ransomware Codefinger dans AWS S3

L'attaque Codefinger représente une nouvelle frontière dans les ransomwares cloud, en exploitant des clés AWS compromises pour cibler les buckets Amazon S3. En exploitant le chiffrement côté serveur d'AWS avec des clés fournies par les clients (SSE-C), ce ransomware avancé chiffre les objets S3, ce qui empêche les organisations d'accéder à leurs données sans la clé de déchiffrement détenue par l'attaquant. L'attaquant renforce encore l'urgence en marquant les fichiers pour suppression, ce qui aggrave la gravité de la menace.

Ce qui rend cette attaque particulièrement inquiétante, c'est l'utilisation de fonctions de chiffrement natives d'AWS pour verrouiller l'accès des organisations à leurs propres données sans exploiter la moindre vulnérabilité d'AWS. Cette approche sophistiquée souligne la nécessité pour les organisations d'adopter des stratégies de sécurité robustes pour cloud , qui portent à la fois sur la prévention et la détection.

Le déroulement de l'attaque Codefinger

Contrairement aux anciennes attaques de ransomware, qui se concentraient principalement sur le chiffrement local des fichiers, les campagnes modernes de ransomware intègrent souvent le vol de données, des menaces d'extorsion et des tactiques avancées cloud. L'attaque Codefinger illustre cette évolution en tirant parti des fonctionnalités cloud'AWS, telles que le chiffrement côté serveur d'Amazon S3 avec des clés fournies par le client (SSE-C), pour s'intégrer directement dans l'environnement de la victime et rendre les méthodes de récupération traditionnelles inefficaces.

Vous trouverez ci-dessous une brève description - basée sur l'analyse d'Halcyon - du déroulement de l'attaque des cybercriminels Codefinger, depuis l'accès initial jusqu'au paiement de la rançon :

Accès initial : L'attaquant utilise des clés d'API AWS exposées publiquement ou compromises pour accéder au compte de la victime.
Découverte : Une fois à l'intérieur, un attaquant devrait nécessairement effectuer des opérations telles que l'énumération des buckets et des objets S3.
Abus d'identifiants : À l'aide d'informations d'identification volées, l'auteur de l'attaque accède aux buckets S3 et télécharge des objets.
Chiffrement via SSE-C : L'attaquant chiffre les données à l'aide de clés de chiffrement symétriques détenues/générées par l'acteur de la menace, ce qui les rend irrécupérables par la victime.
Manipulation du cycle de vie: Les politiques de cycle de vie des objets sont modifiées pour marquer les fichiers en vue de leur suppression, ce qui incite les victimes à se conformer aux demandes de rançon.
Déploiement de la rançon : Des notes de rançon sont placées dans les répertoires concernés, fournissant des instructions de paiement et des avertissements contre toute intervention.

Compréhension actuelle de la compromission du Codefinger *(il s'agit d'une situation évolutive*)

Pourquoi la prévention ne suffit pas

AWS conseille aux organisations d'adopter des mesures préventives robustes comme première ligne de défense contre les ransomwares.

Ces mesures comprennent

Mettre en place des identifiants à court terme : Éviter les identifiants à long terme élimine le risque de compromission, car les identifiants qui n'existent pas ne peuvent pas être volés. Utilisez les outils AWS tels que les rôles IAM, le centre d'identité IAM et le service de jetons de sécurité (STS) pour fournir un accès sécurisé à court terme sans stocker les informations d'identification dans le code ou les fichiers de configuration.
Activer le versionnage et le verrouillage des objets dans les buckets S3: Le versionnage empêche la perte permanente de données en permettant la restauration des versions précédentes des objets, tandis que le verrouillage des objets protège contre l'écrasement ou la suppression de données critiques.
Restreindre l'utilisation de SSE-C : Utilisez les politiques IAM pour bloquer le SSE-C à moins qu'il ne soit explicitement requis. Cela empêche les attaquants d'utiliser des clés de chiffrement personnalisées pour vous empêcher d'accéder à vos données.
Gestion centralisée des clés : Utilisez un contrôle centralisé des clés cryptographiques avec AWS KMS (Key Management Service). Appliquez des politiques de contrôle des services (SCP) pour restreindre l'utilisation de clés et d'opérations cryptographiques spécifiques aux utilisateurs et applications de confiance.
Mettre en œuvre une journalisation et une surveillance avancées : Activez AWS CloudTrail avec une journalisation complète du plan de données S3 pour surveiller toutes les activités de bucker. Configurez des alarmes pour les activités API inhabituelles, telles que le chiffrement en masse, les changements de politique de cycle de vie ou l'utilisation non autorisée des règles de réplication.

Ces mesures peuvent réduire considérablement la surface d'attaque et limiter les possibilités pour les attaquants d'exploiter les fonctions cloud. Toutefois, comme le montrent des attaques avancées telles que Codefinger, la prévention seule n'est pas suffisante. Même avec les meilleurs contrôles préventifs en place, les attaquants peuvent toujours contourner les défenses en exploitant des configurations erronées, en obtenant un accès par le biais de clés compromises ou en abusant de services cloud légitimes.

Le livre blanc de Kat Traxler sur les ransomwares Cloud met en lumière la manière dont les attaquants exploitent les outils cloud à des fins malveillantes. L'étude met en évidence des éléments clés, tels que la façon dont les lacunes en matière de journalisation et de surveillance permettent aux attaquants de dissimuler leurs activités et les différentes étapes du cycle de vie des ransomwares cloud. Ces résultats renforcent la nécessité d'une stratégie globale combinant des mesures préventives robustes avec une détection et une réponse proactives aux menaces.

Meilleures pratiques : Détection robuste des menaces après compromission dans AWS

Pour compléter les recommandations préventives d'AWS, les entreprises doivent mettre en œuvre les meilleures pratiques suivantes en matière de détection et de réponse :

Surveiller les comportements précoces : La détection des activités de reconnaissance, telles que l'énumération des seaux ou la découverte des autorisations IAM, peut empêcher les attaquants d'avancer dans leurs plans.
Détection basée sur le comportement : Utilisez l'analyse comportementale pour identifier des schémas inhabituels dans les appels API, les escalades de privilèges ou les événements de chiffrement.
Journalisation complète : Assurez-vous que CloudTrail est activé pour toutes les régions et tous les services, y compris les événements de données S3, afin de fournir une visibilité sur les actions potentiellement malveillantes.
Réponse automatisée aux incidents : Utiliser des flux de travail automatisés pour isoler les comptes ou les services compromis dès la détection d'une activité suspecte.
Atténuation après la compromission : Concentrez-vous sur l'arrêt des mouvements latéraux et la réduction des dommages en surveillant les signes d'escalade des privilèges, les modifications non autorisées de la politique du cycle de vie ou les opérations de données en vrac.

Les contrôles préventifs sont essentiels, mais ils ne peuvent pas éliminer le risque de compromission. En associant une prévention proactive à des capacités de détection et de réponse robustes, les entreprises peuvent mettre en place un programme de sécurité cloud résilient capable d'atténuer les menaces avancées telles que Codefinger.

Comment la plateforme Vectra AI peut aider

La plateformeVectra AI offre une visibilité inégalée sur ce que font les attaquants avant et après la connexion, une priorisation par l'IA et des capacités de réponse complètes pour permettre aux équipes de sécurité de faire face aux attaques sophistiquées utilisées par des cybercriminels tels que Codefinger :

Couverture pour réduire l'exposition

La plateformeVectra AI offre une visibilité sur les environnements cloud , identifiant les menaces avant qu'elles ne s'aggravent. En surveillant les services AWS à la recherche d'activités suspectes, la plateforme permet de détecter les accès non autorisés, l'escalade des privilèges et d'autres comportements liés aux ransomwares, aidant ainsi les entreprises à réduire leur exposition et à renforcer leurs défenses.

Liste des détections que Vectra AI déclencherait pour stopper une attaque de ransomware dans AWS — *Vectra AI arrête une attaque de ransomware dans AWS*

La clarté pour éliminer le temps de latence dans la détection des menaces

La plateformeVectra AI ne se contente pas de détecter les menaces, elle hiérarchise également les incidents en fonction du risque. La plateforme Vectra utilise l'IA pour attribuer les comportements suspects à des acteurs originaux plutôt qu'à des rôles et fournit le contexte nécessaire à chaque étape de l'attaque. Cela permet aux équipes de sécurité d'avoir une vue d'ensemble et de rationaliser efficacement les enquêtes. En faisant apparaître les menaces en fonction des comportements des attaquants plutôt que de ce qui est différent, les équipes de sécurité peuvent établir des priorités et s'attaquer d'abord aux problèmes les plus critiques.

Contrôle pour arrêter les attaques

Vectra AI permet aux équipes de sécurité de garder le contrôle et d'arrêter les attaques grâce à une combinaison d'automatisation et d'assistance d'experts. Les analystes de sécurité peuvent tirer parti d'investigations instantanées pour suivre la progression des attaques et d'investigations avancées pour des requêtes personnalisées sur les métadonnées du réseau, l'identité et les journaux AWS. Les workflows de réponse Cloud permettent aux équipes d'isoler et de verrouiller les principes du cloud à travers les régions pour un endiguement rapide.

Vectra AI s'intègre de manière transparente aux principales plateformes EDR, SIEM, SOAR et ITSM, y compris AWS Security Hub, afin d'automatiser et d'orchestrer les playbooks de réponse aux incidents. Pour un soutien accru, Vectra MXDR permet aux équipes de sécurité d'externaliser la détection, l'investigation et la réponse aux menaces auprès d'experts en attaques hybrides.

En tirant parti de ces capacités, les équipes de sécurité peuvent arrêter les attaquants ayant accès aux clés AWS avant qu'ils n'escaladent leurs opérations.

Découvrez comment Vectra AI peut vous aider en regardant notre visite guidée ou planifiez une évaluation de sécurité dès aujourd'hui pour identifier vos lacunes en matière de sécurité !

Vous voulez en savoir plus ?

Vectra AI est le leader de la détection et de la réponse aux menaces hybrides cloud pilotées par l'IA. La plateforme et les services de Vectra AI couvrent le site public cloud, les applications SaaS, les systèmes d'identité et l'infrastructure réseau - à la fois sur site et sur cloud-. Les organisations du monde entier s'appuient sur la plateforme et les services Vectra AI pour résister aux ransomwares, à la compromission de la chaîne d'approvisionnement, aux prises d'identité et aux autres cyberattaques qui les touchent.

Si vous souhaitez en savoir plus, contactez-nous et nous vous montrerons exactement comment nous procédons et ce que vous pouvez faire pour protéger vos données. Nous pouvons également vous mettre en contact avec l'un de nos clients pour qu'il vous parle directement de son expérience avec notre solution.

Contactez-nous