S3

Para obtener más información, consulta:

Información Sensible

A veces podrás encontrar información sensible legible en los buckets. Por ejemplo, secretos de estado de terraform.

Pivotaje

Diferentes plataformas podrían estar utilizando S3 para almacenar activos sensibles. Por ejemplo, airflow podría estar almacenando código DAGs allí, o las páginas web podrían ser servidas directamente desde S3. Un atacante con permisos de escritura podría modificar el código del bucket para pivotar hacia otras plataformas, o apoderarse de cuentas modificando archivos JS.

Ransomware en S3

En este escenario, el atacante crea una clave KMS (Key Management Service) en su propia cuenta de AWS u otra cuenta comprometida. Luego hace que esta clave sea accesible para cualquier persona en el mundo, permitiendo que cualquier usuario, rol o cuenta de AWS cifre objetos usando esta clave. Sin embargo, los objetos no pueden ser descifrados.

El atacante identifica un bucket de S3 como objetivo y obtiene acceso de nivel de escritura a él utilizando varios métodos. Esto podría deberse a una configuración deficiente del bucket que lo expone públicamente o al atacante obteniendo acceso al entorno de AWS en sí. El atacante suele apuntar a buckets que contienen información sensible como información de identificación personal (PII), información de salud protegida (PHI), registros, copias de seguridad y más.

Para determinar si el bucket puede ser objetivo de ransomware, el atacante verifica su configuración. Esto incluye verificar si se ha habilitado la versión de objetos de S3 y si se ha habilitado la eliminación con autenticación multifactor (MFA delete). Si la versión de objetos no está habilitada, el atacante puede proceder. Si la versión de objetos está habilitada pero la eliminación con MFA está deshabilitada, el atacante puede deshabilitar la versión de objetos. Si tanto la versión de objetos como la eliminación con MFA están habilitadas, se vuelve más difícil para el atacante hacer ransomware en ese bucket específico.

Utilizando la API de AWS, el atacante reemplaza cada objeto en el bucket con una copia cifrada usando su clave KMS. Esto cifra efectivamente los datos en el bucket, haciéndolos inaccesibles sin la clave.

Para ejercer más presión, el atacante programa la eliminación de la clave KMS utilizada en el ataque. Esto le da al objetivo una ventana de 7 días para recuperar sus datos antes de que se elimine la clave y los datos se pierdan permanentemente.

Finalmente, el atacante podría cargar un archivo final, generalmente llamado "ransom-note.txt", que contiene instrucciones para el objetivo sobre cómo recuperar sus archivos. Este archivo se carga sin cifrado, probablemente para llamar la atención del objetivo y hacerle saber del ataque de ransomware.

Para más información consulta la investigación original.