Les chercheurs préviennent que les attaquants vont au-delà des systèmes sur site et utilisent désormais les propres fonctionnalités de chiffrement et de gestion des clés d’AWS pour empêcher les organisations d’accéder à leurs données cloud.
Les chercheurs en cybersécurité ont émis de nouveaux avertissements concernant les opérateurs de ransomwares qui délaissent les cibles traditionnelles sur site pour se tourner vers les services de stockage dans le cloud, en particulier les compartiments S3 utilisés par Amazon Web Services (AWS).
Un récent rapport de Trend Micro a décrit une nouvelle vague d’attaques, dans lesquelles les attaquants intègrent des services de chiffrement et de gestion de clés natifs du cloud plutôt que de simplement voler ou supprimer des données.
« Les activités malveillantes ciblant les compartiments S3 ne sont pas nouvelles, même si les techniques continuent d’évoluer à mesure que les organisations renforcent leurs environnements cloud », a déclaré Crystal Morin, stratège principale en cybersécurité chez Sysdig. « À mesure que les défenseurs adoptent des protections périmétriques plus strictes, ces attaquants commencent à abuser des capacités intégrées, telles que la gestion du chiffrement et la rotation des clés, pour rendre les données irrécupérables. »
Selon Trend Micro, les attaquants examinent une gamme de configurations S3, depuis les compartiments avec des clés KMS gérées par AWS jusqu’aux clés fournies par le client, en passant par les clés importées et même les magasins de clés entièrement externes.
Pourquoi S3 est le nouveau champ de bataille contre les ransomwares
Les ransomwares sur site impliquaient traditionnellement l’abandon de logiciels malveillants, le chiffrement d’ordinateurs de bureau ou de serveurs et la menace de paiement. Mais à mesure que les organisations migrent leurs charges de travail et leurs sauvegardes critiques vers des services cloud, notent les chercheurs, les attaquants suivent les données.
Le rapport Trend Micro répertorie plusieurs cibles cloud principales, notamment les instantanés de calcul, les compartiments de stockage statique (S3), les bases de données, les conteneurs/registres et les coffres-forts de sauvegarde. Parmi ceux-ci, S3 est particulièrement précieux car il contient souvent des sauvegardes, des journaux, des données de configuration et des actifs statiques, éléments qu’une organisation souhaite le plus récupérer.
Pour réussir, les attaquants recherchent généralement des compartiments S3 qui ont : la gestion des versions désactivée (afin que les anciennes versions ne puissent pas être restaurées), le verrouillage des objets désactivé (afin que les fichiers puissent être écrasés ou supprimés), des autorisations d’écriture étendues (via des politiques IAM mal configurées ou des informations d’identification divulguées) et détiennent des données de grande valeur (fichiers de sauvegarde, vidages de configuration de production).
Une fois à l’intérieur, les attaquants tentent d’imposer un « verrouillage complet et irréversible » des données, ce qui peut impliquer le chiffrement d’objets avec des clés inaccessibles à la victime, la suppression des sauvegardes et la planification de la suppression des clés afin qu’AWS et le client ne puissent pas récupérer les données.
« Cette recherche est un exercice systématique et théorique de modélisation des menaces sur la façon dont un attaquant pourrait chiffrer et demander une rançon à un environnement AWS dans les limites d’un compte – quelque chose dont nous avons parlé au cours des 10 dernières années », a déclaré Trey Ford, directeur de la stratégie et de la confiance chez Bugcrowd.
Armement du chiffrement cloud et de la gestion des clés
Trend Micro a identifié cinq variantes du ransomware S3 qui exploitent de plus en plus les chemins de chiffrement intégrés d’AWS. L’un abuse des clés KMS par défaut gérées par AWS (SSE-KMS) en chiffrant les données avec une clé créée par un attaquant et en planifiant la suppression de cette clé. Un autre utilise des clés fournies par le client (SSE-C), dont AWS n’a aucune copie, ce qui rend la récupération impossible. Le troisième exfiltre les données du compartiment S3 (sans gestion des versions) et supprime les originaux.
Les deux dernières variantes approfondissent l’infrastructure de gestion des clés. L’une d’elles s’appuie sur des clés importées (BYOK), permettant aux attaquants de chiffrer les données, puis de détruire ou de faire expirer les clés importées. L’autre abuse du magasin de clés externe (XKS) d’AWS, où les opérations clés se déroulent en dehors d’AWS, ce qui signifie que si les attaquants contrôlent la source de clé externe, ni le client ni AWS ne peuvent restaurer l’accès. Ensemble, ces techniques révèlent que les attaquants utilisent AWS lui-même comme mécanisme de chiffrement.
« Je ne me souviens pas avoir vu cela se produire dans la nature », a ajouté Ford. « Cela cible spécifiquement l’utilisation de clés externes ou fournies par le client (SSE-C ou XKS, respectivement) pour affirmer le contrôle de la gestion des clés pour la cryptographie utilisée dans le stockage. »
Les chercheurs exhortent les clients à renforcer leurs environnements S3 en appliquant le moindre accès, en permettant des contrôles de protection tels que la gestion des versions et le verrouillage des objets, et en réglementant étroitement l’utilisation de sources de clés fournies par le client ou externes qui peuvent nuire à la récupération. Il a également été recommandé d’isoler les sauvegardes dans des comptes séparés et de surveiller en permanence les journaux d’audit du cloud pour détecter tout signe d’activité suspecte de clé, de chiffrement de masse ou de suppression d’objets à grande échelle.
« Dans le cloud, il est essentiel de penser qu’il y a une violation : les environnements d’exécution doivent être immuables, les identités doivent avoir des autorisations étroitement définies et des informations d’identification de courte durée, les réseaux ont besoin d’une segmentation significative et les ensembles de données critiques doivent avoir des sauvegardes », a ajouté Morin. « Les opérations modernes dépendent de chaînes d’approvisionnement complexes, et un ransomware affectant un partenaire clé peut perturber votre entreprise tout aussi complètement qu’une compromission directe. »
