Difesa dal ransomware Codefinger in AWS S3

28 gennaio 2025

Difesa dal ransomware Codefinger in AWS S3

L'attacco Codefinger rappresenta una nuova frontiera del ransomware cloud, sfruttando chiavi AWS compromesse per colpire i bucket Amazon S3. Sfruttando la Server-Side Encryption with Customer-Provided Keys (SSE-C) di AWS, questo ransomware avanzato cripta gli oggetti S3, impedendo alle organizzazioni di accedere ai propri dati senza la chiave di decriptazione in possesso dell'attaccante. L'aggressore impone inoltre l'urgenza di contrassegnare i file per l'eliminazione, aggravando la gravità della minaccia.

Ciò che rende questo attacco particolarmente preoccupante è l'uso di funzioni di crittografia native di AWS per bloccare le organizzazioni dai propri dati senza sfruttare alcuna vulnerabilità di AWS. Questo approccio sofisticato sottolinea la necessità per le organizzazioni di adottare solide strategie di sicurezza cloud che affrontino sia la prevenzione che il rilevamento.

Il flusso di lavoro dell'attacco Codefinger

A differenza degli attacchi ransomware precedenti, che si concentravano principalmente sulla crittografia dei file a livello locale, le campagne ransomware moderne spesso incorporano il furto di dati, le minacce di estorsione e tattiche cloud avanzate. L'attacco Codefinger esemplifica questa evoluzione sfruttando le funzionalità cloud di AWS, come la crittografia lato server con chiavi fornite dal cliente (SSE-C) di Amazon S3, per integrarsi direttamente nell'ambiente della vittima e rendere inefficaci i metodi di recupero tradizionali.

Di seguito una breve sintesi - basata sull'analisi di Halcyon - di come si svolge l'attacco da parte degli attori della minaccia Codefinger, dall'accesso iniziale alla distribuzione del riscatto:

Accesso iniziale: L'attaccante utilizza chiavi API AWS esposte pubblicamente o compromesse per accedere all'account della vittima.
Scoperta: Una volta entrato, un attaccante dovrebbe necessariamente eseguire operazioni come l'enumerazione dei bucket e degli oggetti S3.
Abuso di credenziali: Utilizzando le credenziali rubate, l'attaccante accede ai bucket S3 e scarica gli oggetti.
Crittografia tramite SSE-C: L'aggressore cripta i dati con chiavi di crittografia simmetrica possedute/generate dall'attore della minaccia, rendendoli irrecuperabili dalla vittima.
Manipolazione del ciclo di vita: I criteri del ciclo di vita degli oggetti vengono modificati per contrassegnare i file da eliminare, creando l'urgenza per le vittime di soddisfare le richieste di riscatto.
Distribuzione del riscatto: Le note di riscatto vengono inserite nelle directory interessate, fornendo istruzioni per il pagamento e avvertendo di non intervenire.

Comprensione attuale del compromesso Codefinger *(si tratta di una situazione in evoluzione)*

Perché la prevenzione non è sufficiente

AWS consiglia alle organizzazioni di adottare solide misure preventive come prima linea di difesa contro il ransomware.

Queste misure comprendono:

Implementare credenziali a breve termine: Evitare le credenziali a lungo termine elimina il rischio di compromissione, poiché le credenziali che non esistono non possono essere rubate. Utilizzate strumenti AWS come i ruoli IAM, IAM Identity Center e Security Token Service (STS) per fornire un accesso sicuro e a breve termine senza memorizzare le credenziali nel codice o nei file di configurazione.
Abilitare il versioning e il blocco degli oggetti nei bucket S3: Il versioning impedisce la perdita permanente dei dati consentendo il ripristino delle versioni precedenti degli oggetti, mentre il blocco degli oggetti protegge dalla sovrascrittura o dall'eliminazione di dati critici.
Limitare l'uso di SSE-C: Utilizzate i criteri IAM per bloccare SSE-C a meno che non sia esplicitamente richiesto. In questo modo si impedisce agli aggressori di sfruttare le chiavi di crittografia personalizzate per bloccare i dati.
Gestione centralizzata delle chiavi: Utilizzare il controllo centralizzato delle chiavi crittografiche con AWS KMS (Key Management Service). Applicare le Service Control Policies (SCP) per limitare l'uso di chiavi e operazioni crittografiche specifiche a utenti e applicazioni fidati.
Implementare la registrazione e il monitoraggio avanzati: Abilitare AWS CloudTrail con un log completo del data-plane S3 per monitorare tutte le attività di bucker. Configurare allarmi per attività API insolite, come la crittografia di massa, le modifiche ai criteri del ciclo di vita o l'uso non autorizzato delle regole di replica.

Questi passaggi possono ridurre significativamente la superficie di attacco e limitare le opportunità di sfruttamento delle funzionalità cloud da parte degli aggressori. Tuttavia, come dimostrano attacchi avanzati come Codefinger, la prevenzione da sola non è sufficiente. Anche con i migliori controlli preventivi in atto, gli aggressori possono comunque aggirare le difese sfruttando configurazioni errate, ottenendo l'accesso attraverso chiavi compromesse o abusando di servizi cloud legittimi.

Il white paper di Kat Traxler sui ransomware Cloud mette in evidenza come gli aggressori sfruttino gli strumenti cloud per scopi malevoli. La ricerca evidenzia alcuni aspetti chiave, come le lacune nella registrazione e nel monitoraggio che consentono agli aggressori di nascondere le loro attività e le varie fasi del ciclo di vita del ransomware cloud. Questi risultati rafforzano la necessità di una strategia completa che combini solide misure preventive con il rilevamento e la risposta proattiva alle minacce.

Migliori pratiche: Rilevamento robusto delle minacce post-compromissione in AWS

Per integrare le raccomandazioni preventive di AWS, le organizzazioni dovrebbero implementare le seguenti best practice di rilevamento e risposta:

Monitorare i comportamenti nelle fasi iniziali: Il rilevamento delle attività di ricognizione, come l'enumerazione dei bucket o la scoperta delle autorizzazioni IAM, può impedire agli aggressori di avanzare nei loro piani.
Rilevamento basato sul comportamento: Utilizzate l'analisi comportamentale per identificare schemi insoliti nelle chiamate API, nelle escalation di privilegi o negli eventi di crittografia.
Registrazione completa: Assicurarsi che CloudTrail sia abilitato per tutte le regioni e i servizi, compresi gli eventi dei dati S3, per fornire visibilità sulle azioni potenzialmente dannose.
Risposta automatica agli incidenti: Impiegare flussi di lavoro automatizzati per isolare gli account o i servizi compromessi immediatamente dopo il rilevamento di attività sospette.
Mitigazione post-compromissione: Concentrarsi sull'arresto dei movimenti laterali e sulla riduzione al minimo dei danni, monitorando i segni di escalation dei privilegi, le modifiche non autorizzate ai criteri del ciclo di vita o le operazioni sui dati in massa.

I controlli preventivi sono fondamentali, ma non possono eliminare il rischio di compromissione. Abbinando la prevenzione proattiva a solide capacità di rilevamento e risposta, le organizzazioni possono costruire un programma di sicurezza cloud resiliente in grado di mitigare minacce avanzate come Codefinger.

Come può aiutare la piattaforma Vectra AI di Vectra AI

La piattaformaVectra AI di Vectra AI offre una visibilità senza precedenti su ciò che gli aggressori fanno prima e dopo l'accesso, la prioritizzazione dell'AI e capacità di risposta complete per consentire ai team di sicurezza di affrontare gli attacchi sofisticati utilizzati dagli attori delle minacce come Codefinger:

Copertura per ridurre l'esposizione

La Vectra AI Platform fornisce visibilità sugli ambienti cloud , identificando le minacce prima che si intensifichino. Monitorando i servizi AWS alla ricerca di attività sospette, la piattaforma consente di rilevare accessi non autorizzati, escalation di privilegi e altri comportamenti legati al ransomware, aiutando le organizzazioni a ridurre l'esposizione e a rafforzare le difese.

Elenco dei rilevamenti che Vectra AI attiverebbe per bloccare un attacco ransomware in AWS — *Vectra AI ferma un attacco ransomware in AWS*

Chiarezza per eliminare la latenza nel rilevamento delle minacce

La piattaformaVectra AI di Vectra AI non solo rileva le minacce, ma stabilisce anche la priorità degli incidenti in base al rischio. La piattaforma Vectra utilizza l'intelligenza artificiale per attribuire i comportamenti sospetti agli attori originali piuttosto che ai ruoli e fornisce il contesto necessario per ogni fase dell'attacco. Ciò consente ai team di sicurezza di vedere il quadro completo e di semplificare efficacemente le indagini. Facendo emergere le minacce in base ai comportamenti degli aggressori anziché alle differenze, i team di sicurezza possono stabilire le priorità e affrontare per primi i problemi più critici.

Controllo per fermare gli attacchi

Vectra AI consente ai team di sicurezza di mantenere il controllo e di bloccare gli attacchi grazie a una combinazione di automazione e supporto di esperti. Gli analisti della sicurezza possono sfruttare le indagini istantanee per i percorsi guidati per tracciare la progressione dell'attacco e le indagini avanzate per le query personalizzate sui metadati di rete, sull'identità e sui registri AWS. I flussi di lavoro di risposta Cloud consentono ai team di isolare e bloccare i presidi cloud in tutte le regioni per un rapido contenimento.

Vectra AI si integra perfettamente con le principali piattaforme EDR, SIEM, SOAR e ITSM, compreso AWS Security Hub, per automatizzare e orchestrare i playbook di risposta agli incidenti. Per un ulteriore supporto, Vectra MXDR consente ai team di sicurezza di esternalizzare il rilevamento delle minacce, le indagini e la risposta a esperti di attacchi ibridi.

Sfruttando queste funzionalità, i team di sicurezza possono bloccare gli aggressori che hanno accesso alle chiavi AWS prima che questi possano intensificare le loro operazioni.

Per saperne di più su come Vectra AI può aiutarvi, guardate il nostro tour autoguidato o programmate oggi stesso una valutazione della sicurezza per identificare le vostre lacune.

Volete saperne di più?

Vectra® è leader nel rilevamento e nella risposta alle minacce cloud ibrido guidati dall'intelligenza artificiale. La piattaforma e i servizi Vectra coprono il cloud pubblico, le applicazioni SaaS, i sistemi di identità e l'infrastruttura di rete, sia on-premises che cloud. Le organizzazioni di tutto il mondo si affidano alla piattaforma e ai servizi di Vectra per resistere a ransomware, compromissioni della catena di approvvigionamento, appropriazioni di identità e altri attacchi informatici che colpiscono la loro organizzazione.

Se volete saperne di più, contattateci e vi mostreremo esattamente come facciamo e cosa potete fare per proteggere i vostri dati. Possiamo anche mettervi in contatto con uno dei nostri clienti per conoscere direttamente le loro esperienze con la nostra soluzione.

Contattateci