一个名为“Codefinger”的勒索软件组织正在攻击亚马逊S3存储桶，利用AWS的服务器端加密技术和客户密钥加密数据并索要赎金。攻击者并非利用AWS漏洞，而是使用泄露的AWS账户凭据，通过SSE-C加密S3数据。一旦加密，数据无法恢复，除非受害者支付赎金获取解密密钥。该组织已影响至少两个组织，并可能出现模仿攻击。他们还篡改生命周期管理策略，设置七天删除窗口，增加受害者付款的紧迫性。由于AWS CloudTrail日志记录有限，取证分析变得困难。Halcyon建议企业加强安全措施，限制SSE-C使用，定期审计AWS密钥，并实施高级日志记录。

🔐 “Codefinger”勒索软件组织利用泄露的AWS账户凭据，而非AWS漏洞，通过SSE-C加密S3存储桶中的数据，并索要赎金以换取解密密钥。

🔑 攻击者使用本地生成的AES-256密钥进行加密，AWS只记录密钥的HMAC，无法重建或解密数据，这使得数据恢复变得极其困难，除非受害者支付赎金。

⏱️ 攻击者还会篡改S3存储桶的生命周期管理策略，设置七天删除窗口，进一步威胁受害者，迫使他们尽快支付赎金。

🛡️ Halcyon建议企业通过IAM策略限制SSE-C的使用，定期审计和轮换AWS密钥，并实施高级日志记录来检测异常活动，以减轻此类威胁。

一个勒索软件组织正以亚马逊 S3 存储桶为目标，利用 AWS 的服务器端加密技术和客户密钥对存储在其中的数据进行攻击，并索要赎金以换取解锁数据所需的加密密钥。Halcyon RISE 团队将威胁行为者称为 “Codefinger”，他们发现勒索软件活动并没有利用 AWS 的漏洞。相反，它使用的是已泄露或公开暴露的 AWS 账户凭据。攻击者利用这些凭据使用 SSE-C 加密 S3 存储桶数据，SSE-C 可以安全地处理加密密钥，而不会将其存储起来。一旦加密，如果没有威胁行为者的解密密钥，数据就无法恢复。Halcyon 的研究人员说，这一行动已经影响了至少两个组织，并警告说有可能发生复制猫攻击。研究人员说，加密文件被标记为在七天内删除，这增加了受害者付款的紧迫性。Codefinger 使用 AWS 本机功能实施攻击。攻击过程首先是识别具有读写S3对象权限的AWS密钥。攻击者使用本地生成和存储的 AES-256 密钥启动加密。AWS 只记录密钥的 HMAC，无法重建或解密数据。生命周期管理策略被篡改，设置了七天的删除窗口，进一步给受害者造成压力。AWS CloudTrail 有限的日志记录功能阻碍了取证分析，加剧了受害者和调查人员面临的挑战。Halcyon 敦促企业采取强有力的安全措施来减轻此类威胁。建议包括通过 IAM 策略限制 SSE-C 的使用，定期审计和轮换 AWS 密钥，以及实施高级日志记录以检测异常活动。AWS 鼓励客户利用其安全工具，如 IAM 角色、Identity Center 和 Secrets Manager，最大限度地减少凭证暴露并提高防御能力。