מתקפת כופר דרך AWS

אבטחת מידע ב AWS

קבוצת תקיפה בשם **Codefinger** ניצלה את מנגנון ההצפנה של AWS לביצוע מתקפות כופר על ארגונים המשתמשים בשירות האחסון Amazon S3. 

ההאקרים השיגו אישורים גנובים לחשבונות AWS של הקורבנות, ולאחר מכן השתמשו במנגנון ההצפנה בצד השרת של AWS (SSE) עם מפתחות שסופקו על ידי הלקוח (SSE-C) כדי להצפין את הקבצים המאוחסנים ב-S3. בכך, נמנע מהארגונים לשחזר את הנתונים ללא המפתח שההאקרים יצרו.

התקפה זו אינה מנצלת פגיעות במערכות AWS עצמן, אלא מסתמכת על השגת אישורים גנובים לחשבונות ה-AWS של הקורבנות. לאחר ההצפנה, התוקפים הותירו הודעות כופר בכל ספרייה מוצפנת, בהן דרשו תשלום ושידלו את הקורבנות להימנע משינוי הרשאות החשבון. בנוסף, הם השתמשו במנגנון מחזור החיים המובנה ב-S3 כדי לסמן את הקבצים למחיקה תוך שבעה ימים, מה שהגביר את הלחץ על הקורבנות לשלם את הכופר.

המלצות להגנה

•  ניהול זהויות והרשאות (IAM): הגבלת הגישה למשאבי S3 באמצעות מתן הרשאות מינימליות שנדרשות לביצוע המשימות. יש להשתמש בתפקידי IAM עבור יישומים ושירותי AWS הדורשים גישה ל-S3, להימנע מאחסון אישורים ישירות ביישומים או בשרתי EC2.
• הצפנת נתונים: הקפדה על הצפנת הנתונים הן במעבר והן במנוחה. AWS מציעה אפשרויות הצפנה שונות, כולל SSE-S3, SSE-KMS, ו-SSE-C. יש לבחור את השיטה המתאימה לצרכי הארגון ולוודא ניהול נכון של מפתחות ההצפנה. 
• ניטור ובקרה: הטמעת כלי ניטור כמו AWS CloudTrail ו-AWS Config Rules לזיהוי פעילות חריגה, כגון שינויי הרשאות או גישה בלתי מורשית. בנוסף, יש להשתמש ב-AWS Identity and Access Management Access Analyzer כדי לפקח על מדיניות הגישה ל-S3 ולהתריע על גישה ציבורית או שיתוף עם חשבונות AWS אחרים.  
• אבטחת אישורים: הקפדה על שמירת אישורים בסודיות, שימוש בסיסמאות חזקות, ואימות רב-שלבי (MFA) כדי למנוע גישה לא מורשית. במקרה של חשד לחשיפת אישורים, יש לבטל אותם מיד ולהנפיק חדשים.

על ידי יישום המלצות אלו, ארגונים יכולים להפחית את הסיכון למתקפות כופר ולשפר את אבטחת המידע שלהם בסביבת AWS. 

([pc.co.il](https://www.pc.co.il/featured/422978/?utm_source=chatgpt.com))