Oubliez les ransomwares typiques! CodeFinger a détourné les clés de cloud directement, exposant directement les défauts de sauvegarde et les risques de responsabilité partagés. Il est temps de repenser la défense.
Si vous n’avez pas accordé beaucoup d’attention à la nouvelle de la récente attaque de Ransomware Codefinger, c’est probablement parce que le ransomware est devenu si répandu que les incidents majeurs ne se sentent plus notables.
Mais CodeFinger n’est pas seulement une autre violation des ransomwares pour ajouter à la liste des incidents où les entreprises ont perdu des données sensibles aux attaquants. À des égards clés, CodeFinger représente un type sensiblement nouveau d’attaque de ransomware.
Par extension, l’incident est un rappel des raisons pour lesquelles les techniques de cybersécurité conventionnelles ne protégeront pas toujours les entreprises et leurs données – et pourquoi les organisations doivent penser au-delà des bases concernant la défense contre les ransomwares.
Pour prouver le point, voici un aperçu de la raison pour laquelle CodeFinger est si important et quelles mesures les organisations devraient prendre pour empêcher de se victimer de la prochaine génération d’attaques de ransomwares.
Qu’est-ce que CodeFinger?
La violation de CodeFinger, découverte par Halcyon et annoncée au début de 2025, a ciblé des informations d’identification clés pour les seaux de stockage sur Amazon S3, un service de stockage populaire basé sur le cloud. Après avoir volé les clés S3 des victimes, les acteurs de la menace associés au groupe CodeFinger (d’où le nom de l’attaque de ransomware) ont utilisé les touches S3 pour crypter les données stockées dans les seaux S3 des cibles et ont demandé une rançon pour la libérer.
L’erreur sous-jacente qui a exposé les organisations à attaquer était de mauvaises pratiques de gestion clés. Les développeurs de logiciels qui ont utilisé les clés S3 dans le cadre de leurs workflows n’ont pas stocké les clés dans un endroit sécurisé, ce qui les rend accessibles aux attaquants.
En d’autres termes, le défaut ne résidait pas avec S3 lui-même, mais avec la façon dont les entreprises ont géré les clés qu’ils utilisent pour accéder et gérer les données S3.
Un nouveau type d’attaque de ransomware
Les principes fondamentaux de l’attaque de Codefinger sont les mêmes que ceux de la plupart des attaques de ransomwares: les méchants ont crypté les données des victimes et ont demandé le paiement pour le restaurer.
Cependant, plusieurs aspects de la violation le font ressortir de la plupart des autres incidents de ransomware:
- Vector d’attaque: Dans les attaques de ransomwares traditionnelles, le vecteur d’attaque implique la plantation de code malveillant sur un ordinateur ou un serveur, puis en utilisant le code pour crypter des données sensibles. Dans le cas de CodeFinger, la technique d’attaque était très différente. Il n’y avait pas de code malveillant en jeu; Les attaquants ont simplement abusé des références d’accès.
- Changer le rôle des sauvegardes: Bien que les sauvegardes hors site auraient pu aider certaines organisations à se remettre de CodeFinger sans payer de rançon, elles n’auraient pas protégé des organisations qui ont sauvegardé des données basées sur des seaux S3 qui avaient déjà été cryptés parce que dans ce cas, les sauvegardes auraient également été cryptées. Cela expose l’une des faiblesses fondamentales de la protection des données conventionnelles: les données de sauvegarde ne sont utiles que si elles restent sécurisées, et ce n’est pas toujours le cas.
- Responsabilité partagée: CodeFinger souligne comment les acteurs de la menace peuvent effectuer des attaques contre des environnements basés sur le cloud en exploitant les faiblesses que les fournisseurs de cloud n’essayent pas de gérer. Dans le cas de cet incident, la responsabilité de la gestion des clés d’accès est tombée aux clients d’Amazon, et non à Amazon lui-même, en vertu des termes de modèles de responsabilité partagée dans le cloud.
À ces égards, CodeFinger représente une nouvelle phase dans l’évolution des ransomwares. Il exploite un type de faiblesse – la gestion des clés non sécurisée – que les organisations ne géraient généralement pas de près. En outre, la menace qu’il pose est exacerbée par le fait que les stratégies de défense des ransomwares conventionnelles, comme les sauvegardes hors site, n’auraient pas nécessairement suffi pour protéger les organisations.
Protéger votre entreprise contre le prochain ransomware de type Codefinger
Cela ne veut pas dire que les pratiques traditionnelles de protection des données, comme prendre des sauvegardes régulières et les loger sur un stockage immuable, ne sont plus importantes. Ils restent parmi les étapes essentielles que les entreprises doivent prendre pour se défendre contre les ransomwares de tous types.
Cependant, CodeFinger est un rappel que les organisations doivent combiner les protections traditionnelles avec des pratiques plus avancées – et facilement négligées – des données et des pratiques de cybersécurité.
Par exemple, les meilleures pratiques suivantes auraient aidé à arrêter la violation de Codefinger:
- Identification des secrets: Les secrets (ce qui signifie que les mots de passe, les clés et tout autre type d’identification utilisé pour accéder à un système) doivent être systématiquement identifiés et suivis afin que les organisations sachent où résident leurs secrets. Lorsque les secrets sont hébergés dans des emplacements sans sécurité, comme les référentiels de code, ils doivent être déplacés vers des environnements sécurisés, comme un outil de gestion des secrets dédié.
- Secrets Cycling: Le cyclisme des secrets en les mettant à la mise à jour périodiquement empêche les secrets plus anciens d’être utiles aux attaquants s’ils tombent entre leurs mains.
- Gestion des secrets granulaires: Une approche granulaire de la gestion des secrets – par, par exemple, de donner aux développeurs des clés d’accès qui sont différentes de celles utilisées par les équipes informatiques – réduit les retombées potentielles d’une violation car elle restreint le nombre de ressources que les attaquants peuvent accéder à l’aide d’un secret donné.
- Configurations de stockage de données privées: À moins qu’une ressource cloud n’ait une raison d’être accessible publiquement, elle doit être configurée de telle sorte que seuls les utilisateurs authentifiés puissent y trouver et y accéder. Dans le cas de la violation de Codefinger, les seaux S3 découvrables publiquement ont contribué à permettre l’attaque.
Ce ne sont que des exemples de techniques de défense des ransomwares qui auraient contribué à atténuer les risques associés à CodeFinger. Plus généralement, les organisations devraient investir dans des stratégies telles que la cartographie des vecteurs d’attaque qui peuvent les avoir un impact, en comprenant les limites de leurs stratégies de sauvegarde et de récupération et acquérir une compréhension complète de leur environnement informatique.
La plupart des organisations réalisent que ces choses sont importantes, bien sûr. Le défi auquel ils sont confrontés est que les ressources du personnel et l’expertise sont finies et, dans la course, pour répondre aux demandes concurrentes de ressources, les entreprises n’investissent pas toujours aussi fortement dans la protection avancée des ransomwares qu’ils le devraient.
Mais étant donné la grave menace que les attaques comme Codefinger posent, il n’y a aucune justification pour la sous-investissement dans la défense des ransomwares. Au contraire, à mesure que le ransomware évolue continuellement, rendre les protections conventionnelles moins efficaces, identifier et atténuer les points faibles de la cybersécurité est plus important que jamais. Si vous ne pouvez pas le faire en utilisant vos ressources internes, il est maintenant temps d’étendre votre répertoire d’expertise en cybersécurité ou de trouver un partenaire de cybersécurité qui peut aider à combler les lacunes.
