Halcyon이 발견한 새로운 랜섬웨어 캠페인은 AWS의 서버 측 암호화(SSE-C)를 사용하여 아마존 S3 버킷을 암호화하고, 복호화 키를 받기 위해 몸값을 요구합니다. 이 공격에서는 위협 행위자인 'Codefinger'가 적어도 두 명의 피해자를 암호화했습니다. 아마존 S3는 AWS에서 제공하는 확장 가능하고 안전하며 고속의 객체 저장 서비스로, S3 버킷은 파일, 데이터 백업, 미디어, 로그 등을 저장하는 클라우드 저장소입니다.
Codefinger의 공격에서는 위협 행위자가 's3:GetObject'와 's3:PutObject' 권한이 있는 피해자의 키를 찾아내어 S3 버킷의 객체를 암호화합니다. 공격자는 그 후 로컬에서 암호화 키를 생성하여 대상의 데이터를 암호화합니다. AWS는 이러한 암호화 키를 저장하지 않기 때문에, 피해자가 아마존에 무단 활동을 보고하더라도 공격자의 키 없이는 데이터 복구가 불가능합니다.
Halcyon은 이러한 발견을 아마존에 보고하였고, 아마존은 키가 노출된 고객에게 즉시 알려서 즉각적인 조치를 취할 수 있도록 최선을 다하고 있다고 답변하였습니다. 또한, 아마존은 엄격한 보안 프로토콜을 구현하고 무단 AWS 계정 활동 문제를 신속하게 해결하기 위한 단계를 따르도록 사람들에게 권장하고 있습니다.
요약
- Halcyon이 발견한 새로운 랜섬웨어 캠페인은 AWS의 서버 측 암호화를 사용하여 아마존 S3 버킷을 암호화하고, 복호화 키를 받기 위해 몸값을 요구한다.
- 위협 행위자인 'Codefinger'는 피해자의 AWS 자격 증명을 사용하여 S3 버킷의 객체를 암호화하고, 로컬에서 암호화 키를 생성하여 대상의 데이터를 암호화한다.
- 아마존은 키가 노출된 고객에게 즉시 알려서 즉각적인 조치를 취할 수 있도록 최선을 다하고 있다고 답변했다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.