一个名为 “Codefinger ”的勒索软件团伙正在使用 AWS 的服务器端加密选项和客户提供的密钥（SSE-C）对目标组织的 AWS S3 存储桶中存储的数据进行加密，并要求客户交出他们使用的密钥。

他们不会事先将数据外泄，而是将加密文件标记为在七天内删除，从而增加了企业支付赎金的压力。

攻击是如何展开的？

威胁者利用目标之前泄露的（无论是被盗还是无意泄露的）AWS 密钥，这些密钥拥有读写 S3 对象的权限。

“攻击者通过调用 x-amz-server-side-encryption-customer-algorithm 标头，利用他们生成并存储在本地的 AES-256 加密密钥启动加密过程，”Halcyon 研究团队解释道。

“AWS 会在加密操作过程中处理密钥，但不会将其存储起来。相反，AWS CloudTrail 中只记录了一个 HMAC（基于散列的消息验证码）。这个HMAC不足以重建密钥或解密数据。”

因此，如果目标组织没有加密数据的备份，实际上就会被迫付费。而且，在谈判过程中，他们无法对账户权限进行更改，因为攻击者威胁要保持沉默，让受害者束手无策。

避免成为受害者

该团队表示，将数据存储在 AWS S3 存储桶中的组织应该重视这些信息，并在这种攻击方法被更广泛地采用之前采取行动，使这种攻击成为不可能。(据他们所知，最近几周就有两家机构受到了攻击）。

“使用 IAM 策略中的 “条件 ”元素来防止 SSE-C 应用于 S3 存储桶。可以对策略进行配置，将此功能限制在授权数据和用户范围内，”他们建议说。

“定期检查所有 AWS 密钥的权限，确保它们拥有最低要求的访问权限。禁用未使用的密钥，并经常轮换使用中的密钥。”

他们还建议为 S3 操作启用详细的日志记录，以便能够快速检测到异常活动并采取相应措施。

当 AWS 发现公开暴露的客户密钥时，会将其自动 “隔离”，从而限制对其进行的操作（尽管研究人员此前发现，即使这样也不足以防止潜在的破坏）。

“AWS提供了一套丰富的功能，无需在源代码或配置文件中存储凭据，”亚马逊的云计算子公司对Halcyon的研究结果发表了评论。

“IAM 角色使应用程序能够安全地从 EC2 实例、ECS 或 EKS 容器或 Lambda 功能发出签名 API 请求，并使用自动部署、频繁轮换的短期凭证，无需客户管理。”他们说：“即使是 AWS 云之外的计算节点，也可以使用 Roles Anywhere 功能，在没有长期 AWS 凭据的情况下进行经过验证的调用。”

“开发人员工作站使用身份中心来获取由受 MFA 令牌保护的长期用户身份支持的短期凭证。所有这些技术都依赖于 AWS 安全令牌服务（AWS STS）来发布临时安全凭证，这些凭证可以控制对 AWS 资源的访问，而无需在应用程序（无论是代码还是配置文件）中分发或嵌入长期 AWS 安全凭证。”