Les chercheurs de Cybernews rapportent qu’une base de données massive de plus de 1 200 clés d’accès uniques d’Amazon Web Services (AWS) a été amassée et exploitée dans le cadre d’une campagne de ransomware.

Les administrateurs des compartiments AWS S3 exposés voient leurs fichiers chiffrés, à l’exception d’une demande de rançon exigeant un paiement en bitcoins.

« Il s’agit d’un cas rare et potentiellement sans précédent de campagne d’extorsion coordonnée exploitant des informations d’identification AWS divulguées pour appliquer le chiffrement côté serveur (SSE-C) sur les données stockées dans des compartiments S3, sans interaction ou réalisation du propriétaire », a déclaré Bob Diachenko, chercheur en cybersécurité et propriétaire de SecurityDiscovery.com.

Principaux points à retenir

• + de 158 millions d’enregistrements clés AWS divulgués ont été trouvés, indiquant 1 229 identifiants uniques. Les clés AWS fonctionnelles permettaient d’établir la liste des compartiments S3 et de récupérer les demandes de rançon.
• Les notes de rançon indiquent que les fichiers ont été chiffrés à l’aide du chiffrement côté serveur avec clés fournies par le client (SSE-C).
• Le montant de l’extorsion était de 0,3 BTC (~25 000 $) par victime.
• Un acteur malveillant inconnu abuse du chiffrement natif côté serveur d’AWS pour rester caché.

C’est cette découverte que le chercheur en cybersécurité Bob Diachenko, qui travaille avec l’équipe de recherche de Cybernews, a fait cette découverte.

« Cet incident marque une escalade significative dans les tactiques de ransomware dans le cloud. Sa simplicité le rend particulièrement dangereux : les attaquants n’ont besoin que de clés volées – pas d’exploits fantaisistes », a ajouté Diachenko.

Pour lire l’intégralité de l’étude, veuillez cliquer ici.