El ataque Codefinger representa una nueva frontera en el ransomware cloud, aprovechando las claves de AWS comprometidas para atacar los buckets de Amazon S3. Al explotar el cifrado del lado del servidor de AWS con claves proporcionadas por el cliente (SSE-C), este ransomware avanzado cifra los objetos de S3, dejando a las organizaciones incapaces de acceder a sus datos sin la clave de descifrado en poder del atacante. Además, el agresor impone urgencia marcando los archivos para su eliminación, lo que agrava la gravedad de la amenaza.
Lo que hace que este ataque sea especialmente preocupante es su uso de funciones de cifrado nativas de AWS para bloquear a las organizaciones de sus propios datos sin explotar ninguna vulnerabilidad de AWS. Este sofisticado enfoque subraya la necesidad de que las organizaciones adopten estrategias sólidas de seguridad cloud que aborden tanto la prevención como la detección.
El flujo de trabajo del ataque Codefinger
A diferencia de los ataques de ransomware anteriores, que se centraban principalmente en cifrar archivos localmente, las campañas de ransomware modernas suelen incorporar el robo de datos, amenazas de extorsión y tácticas avanzadas cloud. El ataque de Codefinger ejemplifica esta evolución al aprovechar las características cloud la cloud de AWS, como el cifrado del lado del servidor de Amazon S3 con claves proporcionadas por el cliente (SSE-C), para integrarse directamente en el entorno de la víctima y hacer que los métodos de recuperación tradicionales sean ineficaces.
A continuación se muestra un breve desglose -basado en el análisis de Halcyon- de cómo se desarrolla el ataque de los actores de la amenaza Codefinger, desde el acceso inicial hasta el despliegue del rescate:
- Acceso inicial: El atacante utiliza claves API de AWS expuestas públicamente o comprometidas para obtener acceso a la cuenta de la víctima.
- Descubrimiento: Una vez dentro, un atacante necesitaría necesariamente realizar operaciones como la enumeración de buckets y objetos de S3.
- Abuso de credenciales: Utilizando credenciales robadas, el atacante accede a los buckets de S3 y descarga objetos.
- Cifrado mediante SSE-C: El atacante cifra los datos con claves de cifrado simétricas generadas/propiedad del actor de la amenaza, haciéndolos irrecuperables para la víctima.
- Manipulación del ciclo de vida: Las políticas del ciclo de vida de los objetos se modifican para marcar los archivos para su eliminación, creando urgencia para que las víctimas cumplan con las demandas de rescate.
- Despliegue del rescate: Las notas de rescate se colocan en los directorios afectados, proporcionando instrucciones de pago y advertencias contra la intervención.
Por qué no basta con prevenir
AWS aconseja a las organizaciones que adopten medidas preventivas sólidas como primera línea de defensa contra el ransomware.
Estas medidas incluyen:
- Implantar credenciales a corto plazo: Evitar las credenciales a largo plazo elimina el riesgo de compromiso, ya que las credenciales que no existen no se pueden robar. Utilice herramientas de AWS como los roles de IAM, el Centro de identidades de IAM y el Servicio de tokens de seguridad (STS) para proporcionar acceso seguro a corto plazo sin almacenar credenciales en archivos de código o configuración.
- Habilite el control de versiones y el bloqueo de objetos en los buckets de S3: El versionado evita la pérdida permanente de datos al permitir la restauración de versiones anteriores de objetos, mientras que el bloqueo de objetos protege contra la sobrescritura o eliminación de datos críticos.
- Restrinja el uso de SSE-C: Utilice políticas de IAM para bloquear SSE-C a menos que se requiera explícitamente. Esto evita que los atacantes aprovechen las claves de cifrado personalizadas para bloquear sus datos.
- Administración de claves centralizada: Utilice el control centralizado de las claves criptográficas con AWS KMS (Key Management Service). Aplique políticas de control de servicios (SCP) para restringir el uso de claves y operaciones criptográficas específicas a usuarios y aplicaciones de confianza.
- Implemente logs y monitorización avanzados: Habilite AWS CloudTrail con un registro completo del plano de datos de S3 para monitorizar todas las actividades de bucker. Configure alarmas para actividades de API inusuales, como cifrado masivo, cambios en la política de ciclo de vida o uso no autorizado de reglas de replicación.
Estos pasos pueden reducir significativamente la superficie de ataque y limitar las oportunidades de los atacantes para explotar las características cloud. Sin embargo, como demuestran ataques avanzados como Codefinger, la prevención por sí sola no es suficiente. Incluso con los mejores controles preventivos, los agresores pueden eludir las defensas aprovechando errores de configuración, obteniendo acceso a través de claves comprometidas o abusando de servicios legítimos cloud .
El libro blanco de Kat Traxler sobre el ransomware cloud Cloud destaca cómo los agresores explotan las herramientas cloud con fines maliciosos. La investigación destaca aspectos clave, como las lagunas en el registro y la supervisión que permiten a los agresores ocultar sus actividades y las distintas fases del ciclo de vida del ransomware cloud nube. Estas conclusiones refuerzan la necesidad de una estrategia integral que combine medidas preventivas sólidas con la detección y respuesta proactivas a las amenazas.
Mejores prácticas: Detección robusta de amenazas post-compromiso en AWS
Para complementar las recomendaciones preventivas de AWS, las organizaciones deben implementar las siguientes mejores prácticas de detección y respuesta:
- Supervise los comportamientos iniciales: Detectar actividades de reconocimiento, como la enumeración de buckets o el descubrimiento de permisos de IAM, puede impedir que los atacantes avancen en sus planes.
- Detección basada en el comportamiento: Utilice análisis de comportamiento para identificar patrones inusuales en llamadas a la API, escaladas de privilegios o eventos de cifrado.
- Registro exhaustivo: Asegúrese de que CloudTrail esté habilitado para todas las regiones y servicios, incluidos los eventos de datos de S3, para proporcionar visibilidad de las acciones potencialmente maliciosas.
- Respuesta automatizada a incidentes: Utiliza flujos de trabajo automatizados para aislar las cuentas o servicios comprometidos inmediatamente después de detectar una actividad sospechosa.
- Mitigación posterior a la infracción: Céntrese en detener el movimiento lateral y minimizar los daños mediante la supervisión de signos de escalada de privilegios, cambios no autorizados en las políticas del ciclo de vida u operaciones de datos masivos.
Los controles preventivos son vitales, pero no pueden eliminar el riesgo de compromiso. Al combinar la prevención proactiva con sólidas capacidades de detección y respuesta, las organizaciones pueden crear un programa de seguridad cloud resistente y capaz de mitigar amenazas avanzadas como Codefinger.
Cómo puede ayudar la plataforma Vectra AI
La plataformaVectra AI proporciona una visibilidad sin precedentes de lo que hacen los atacantes antes y después del inicio de sesión, priorización de IA y capacidades de respuesta integrales para capacitar a los equipos de seguridad a la hora de hacer frente a los sofisticados ataques utilizados por los actores de amenazas como Codefinger:
Cobertura para reducir la exposición
La plataformaVectra AI proporciona visibilidad de los entornos cloud , identificando las amenazas antes de que escalen. Al monitorizar los servicios de AWS en busca de actividad sospechosa, la plataforma permite detectar accesos no autorizados, escalada de privilegios y otros comportamientos relacionados con el ransomware, lo que ayuda a las organizaciones a reducir la exposición y fortalecer las defensas.
Claridad para eliminar la latencia en la detección de amenazas
La plataformaVectra AI no sólo detecta las amenazas, sino que también prioriza los incidentes en función del riesgo. La plataforma Vectra utiliza la IA para atribuir comportamientos sospechosos a los actores originales en lugar de a los roles y proporciona el contexto necesario para cada etapa del ataque. Esto permite a los equipos de seguridad ver la imagen completa y agilizar las investigaciones de forma eficaz. Al sacar a la luz las amenazas basándose en los comportamientos de los atacantes en lugar de en lo que es diferente, los equipos de seguridad pueden priorizar y abordar primero los problemas más críticos.
Control para detener los ataques
Vectra AI permite a los equipos de seguridad mantener el control y detener los ataques con una combinación de automatización y asistencia experta. Los analistas de seguridad pueden aprovechar las investigaciones instantáneas para encontrar rutas guiadas que permitan rastrear la progresión de los ataques y las investigaciones avanzadas para realizar consultas personalizadas en metadatos de red, identidad y registros de AWS. Los flujos de trabajo de respuesta Cloud permiten a los equipos aislar y bloquear los principales de cloud en todas las regiones para una rápida contención.
Vectra AI se integra a la perfección con las principales plataformas EDR, SIEM, SOAR e ITSM, incluido AWS Security Hub, para automatizar y orquestar las guías de respuesta a incidentes. Para mayor soporte, Vectra MXDR permite a los equipos de seguridad subcontratar la detección, investigación y respuesta a amenazas a expertos en ataques híbridos.
Al aprovechar estas capacidades, los equipos de seguridad pueden detener a los atacantes con acceso a las claves de AWS antes de que escalen sus operaciones.
Obtenga más información sobre cómo Vectra AI puede ayudarle viendo nuestra visita autoguiada o programe una evaluación de seguridad hoy mismo para identificar sus brechas de seguridad.