Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso
Briefing sulle minacce

Difendersi dal ransomware Codefinger in AWS S3

28 gennaio 2025
Lucie Cardiet
Responsabile della ricerca sulle minacce informatiche
Difendersi dal ransomware Codefinger in AWS S3

L'attacco Codefinger rappresenta una nuova frontiera nel ransomware cloud, sfruttando le chiavi AWS compromesse per colpire i bucket Amazon S3. Sfruttando la crittografia lato server con chiavi fornite dal cliente (SSE-C) di AWS, questo ransomware avanzato crittografa gli oggetti S3, impedendo alle organizzazioni di accedere ai propri dati senza la chiave di decrittografia in possesso dell'autore dell'attacco. L'autore dell'attacco aumenta ulteriormente l'urgenza contrassegnando i file per la cancellazione, aggravando la gravità della minaccia.

Ciò che rende questo attacco particolarmente preoccupante è l'uso delle funzionalità di crittografia native di AWS per impedire alle organizzazioni di accedere ai propri dati senza sfruttare alcuna vulnerabilità di AWS. Questo approccio sofisticato sottolinea la necessità per le organizzazioni di adottare solide strategie cloud che affrontino sia la prevenzione che il rilevamento.

Il flusso di lavoro dell'attacco Codefinger

A differenza dei precedenti attacchi ransomware, che si concentravano principalmente sulla crittografia dei file in locale, le moderne campagne ransomware spesso incorporano furti di dati, minacce di estorsione e tattiche avanzate cloud. L'attacco Codefinger esemplifica questa evoluzione sfruttando le funzionalità cloud di AWS, come la crittografia lato server con chiavi fornite dal cliente (SSE-C) di Amazon S3, per integrarsi direttamente nell'ambiente della vittima e rendere inefficaci i metodi di recupero tradizionali.

Di seguito è riportata una breve analisi (basata sull'analisi di Halcyon) di come si svolge l'attacco da parte degli autori della minaccia Codefinger, dall'accesso iniziale all'implementazione del riscatto:

  1. Accesso iniziale: l'autore dell'attacco utilizza chiavi API AWS esposte pubblicamente o compromesse per ottenere l'accesso all'account della vittima.
  2. Scoperta: una volta all'interno, un aggressore dovrebbe necessariamente eseguire operazioni quali l'enumerazione dei bucket e degli oggetti S3.
  3. Abuso delle credenziali: utilizzando credenziali rubate, l'autore dell'attacco accede ai bucket S3 e scarica gli oggetti.
  4. Crittografia tramite SSE-C: l'autore dell'attacco crittografa i dati con chiavi di crittografia simmetriche di sua proprietà o da lui generate, rendendoli irrecuperabili dalla vittima.
  5. Manipolazione del ciclo di vita: le politiche relative al ciclo di vita degli oggetti vengono modificate per contrassegnare i file da eliminare, creando un senso di urgenza nelle vittime affinché soddisfino le richieste di riscatto.
  6. Distribuzione del riscatto: nelle directory colpite vengono inserite richieste di riscatto contenenti istruzioni di pagamento e avvertimenti contro qualsiasi intervento.
Comprensione attuale della violazione di Codefinger (si tratta di una situazione in evoluzione)

Perché la prevenzione non è sufficiente

AWS consiglia alle organizzazioni di adottare misure preventive efficaci come prima linea di difesa contro il ransomware.

Queste misure includono:

  1. Implementare credenziali a breve termine: evitare credenziali a lungo termine elimina il rischio di compromissione, poiché le credenziali che non esistono non possono essere rubate. Utilizzare strumenti AWS come i ruoli IAM, IAM Identity Center e Security Token Service (STS) per fornire un accesso sicuro e a breve termine senza memorizzare le credenziali nel codice o nei file di configurazione.
  2. Abilita il controllo delle versioni e il blocco degli oggetti nei bucket S3: il controllo delle versioni impedisce la perdita permanente dei dati consentendo il ripristino delle versioni precedenti degli oggetti, mentre il blocco degli oggetti protegge dalla sovrascrittura o dall'eliminazione dei dati critici.
  3. Limitare l'utilizzo di SSE-C: utilizzare le politiche IAM per bloccare SSE-C a meno che non sia esplicitamente richiesto. Ciò impedisce agli aggressori di sfruttare chiavi di crittografia personalizzate per bloccare l'accesso ai propri dati.
  4. Gestione centralizzata delle chiavi: utilizza il controllo centralizzato delle chiavi crittografiche con AWS KMS (Key Management Service). Applica le politiche di controllo dei servizi (SCP) per limitare l'uso di chiavi specifiche e operazioni crittografiche a utenti e applicazioni affidabili.
  5. Implementare la registrazione e il monitoraggio avanzati: abilitare AWS CloudTrail con la registrazione completa del piano dati S3 per monitorare tutte le attività dei bucker. Configurare allarmi per attività API insolite, come la crittografia in blocco, le modifiche alle politiche del ciclo di vita o l'uso non autorizzato delle regole di replica.

Questi passaggi possono ridurre significativamente la superficie di attacco e limitare le opportunità per gli aggressori di sfruttare le funzionalità cloud. Tuttavia, come dimostrano attacchi avanzati come Codefinger, la prevenzione da sola non è sufficiente. Anche con i migliori controlli preventivi in atto, gli aggressori possono comunque aggirare le difese sfruttando configurazioni errate, ottenendo l'accesso tramite chiavi compromesse o abusando cloud legittimi.

Il white paper di Kat Traxler sul ransomware Cloud evidenzia come gli aggressori sfruttino gli strumenti cloud per scopi dannosi. La ricerca delinea alcune informazioni chiave, come ad esempio il modo in cui le lacune nella registrazione e nel monitoraggio consentono agli aggressori di nascondere le loro attività e le varie fasi del ciclo di vita del ransomware cloud. Questi risultati rafforzano la necessità di una strategia completa che combini misure preventive robuste con il rilevamento e la risposta proattivi alle minacce.

Best practice: rilevamento affidabile delle minacce post-compromissione in AWS

A integrazione delle raccomandazioni preventive di AWS, le organizzazioni dovrebbero implementare le seguenti best practice di rilevamento e risposta:

  1. Monitorare i comportamenti nelle fasi iniziali: individuare attività di ricognizione, come l'enumerazione dei bucket o la scoperta delle autorizzazioni IAM, può impedire agli aggressori di portare avanti i loro piani.
  2. Rilevamento basato sul comportamento: utilizza l'analisi comportamentale per identificare modelli insoliti nelle chiamate API, nelle escalation dei privilegi o negli eventi di crittografia.
  3. Registrazione completa: assicurati che CloudTrail sia abilitato per tutte le regioni e tutti i servizi, inclusi gli eventi relativi ai dati S3, per garantire la visibilità delle azioni potenzialmente dannose.
  4. Risposta automatizzata agli incidenti: utilizza flussi di lavoro automatizzati per isolare immediatamente gli account o i servizi compromessi al rilevamento di attività sospette.
  5. Mitigazione post-compromissione: concentrarsi sull'arresto dei movimenti laterali e sulla riduzione al minimo dei danni monitorando i segni di escalation dei privilegi, modifiche non autorizzate alle politiche del ciclo di vita o operazioni su dati in blocco.

I controlli preventivi sono fondamentali, ma non possono eliminare il rischio di compromissione. Abbinando una prevenzione proattiva a solide capacità di rilevamento e risposta, le organizzazioni possono creare un programma cloud resiliente in grado di mitigare minacce avanzate come Codefinger.

Come può aiutarti la Vectra AI

Vectra AI offre una visibilità senza precedenti sulle azioni degli aggressori prima e dopo l'accesso, la prioritizzazione basata sull'intelligenza artificiale e funzionalità di risposta complete per consentire ai team di sicurezza di affrontare attacchi sofisticati utilizzati da autori di minacce come Codefinger:

Copertura per ridurre l'esposizione

Vectra AI offre visibilità sugli cloud , identificando le minacce prima che si aggravino. Monitorando i servizi AWS alla ricerca di attività sospette, la piattaforma consente di rilevare accessi non autorizzati, escalation di privilegi e altri comportamenti correlati al ransomware, aiutando le organizzazioni a ridurre l'esposizione e a rafforzare le difese.

Elenco dei rilevamenti che Vectra AI per bloccare un attacco ransomware in AWS
Vectra AI un attacco ransomware in AWS

Chiarezza per eliminare la latenza nel rilevamento delle minacce

Vectra AI non solo rileva le minacce, ma assegna anche una priorità agli incidenti in base al rischio. La piattaforma Vectra utilizza l'intelligenza artificiale per attribuire i comportamenti sospetti agli autori originali piuttosto che ai ruoli e fornisce il contesto necessario per ogni fase dell'attacco. Ciò consente ai team di sicurezza di avere una visione completa della situazione e di semplificare efficacemente le indagini. Individuando le minacce in base ai comportamenti degli aggressori anziché alle differenze, i team di sicurezza possono stabilire le priorità e affrontare prima i problemi più critici.

Controllo per fermare gli attacchi

Vectra AI ai team di sicurezza di mantenere il controllo e bloccare gli attacchi grazie a una combinazione di automazione e supporto esperto. Gli analisti della sicurezza possono sfruttare indagini istantanee per percorsi guidati per tracciare la progressione degli attacchi e indagini avanzate per query personalizzate su metadati di rete, identità e log AWS. I flussi di lavoro di risposta Cloud consentono ai team di isolare e bloccare cloud in tutte le regioni per un rapido contenimento.

Vectra AI si integra perfettamente con le principali piattaforme EDR, SIEM, SOAR e ITSM, tra cui AWS Security Hub, per automatizzare e orchestrare i playbook di risposta agli incidenti. Per un supporto aggiuntivo, Vectra MXDR consente ai team di sicurezza di esternalizzare il rilevamento delle minacce, le indagini e la risposta agli esperti di attacchi ibridi.

Sfruttando queste funzionalità, i team di sicurezza possono bloccare gli aggressori che hanno accesso alle chiavi AWS prima che intensifichino le loro operazioni.

Scopri di più su come Vectra AI aiutarti guardando il nostro tour autoguidato o prenota oggi stesso una valutazione della sicurezza per identificare le tue lacune in materia!

Domande frequenti