Aggiornamenti recenti Aprile 18th, 2025 2:53 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- XorDDoS, il DDoS contro Linux evolve e continua a mietere vittime
- Migliaia di chiavi AWS usate in un attacco ransomware
- Aggiornato: Addio a CVE – il governo U.S.A. (sospende) riprende i finanziamenti per il programma
- Defender for Endpoint bloccherà gli IP sconosciuti per impedire il movimento laterale
- Slopsquatting: quando l’IA consiglia pacchetti che non esistono
Migliaia di chiavi AWS usate in un attacco ransomware
Alcuni ricercatori di sicurezza hanno scoperto una nuova campagna ransomware ai danni dei bucket S3 che ha sfruttato migliaia di chiavi di accesso AWS.
Come si legge su Cybernews, i ricercatori hanno individuato un database di 1.229 coppie di chiavi AWS uniche contenenti l’Access Key ID e il corrispondente Secret Access Key. Un’analisi più approfondita ha portato poi all’individuazione della campagna ransomware, con numerosi bucket S3 completamente cifrati fatta eccezione per la nota del riscatto.
Gli attaccanti hanno sfruttato la crittografia Customer-Provided Keys server-side (SSE-C) per cifrare i dati dei bucket, una tecnica già usata in precedenza in altre campagne ransomware contro AWS. Questo tipo di attacco si basa sul furto delle credenziali dei clienti AWS, senza dover sfruttare eventuali vulnerabilità degli ambienti.
Gli attaccanti, in possesso delle credenziali utente, generano le proprie chiavi di cifratura e le usano per bloccare i dati. “Questo pattern di attacco consente la ‘compromissione silenziosa’, con nessun alert né report notificato alla vittima, né alcun log“. Gli attaccanti lasciano la struttura dei bucket intatta e agiscono solo sui dati, tanto che in diverse istanze le operazioni non si sono interrotte.
Secondo Bob Diachenko, un ricercatore di sicurezza, molte vittime potrebbero non essersi ancora rese conto di avere i bucket cifrati, soprattutto se i file compromessi non vengono usati di frequente o se i bucket vengono usati solo per i backup. “Questo incidente segna un’escalation significativa nelle tattiche dei ransomware cloud” ha affermato Diachenko, “Alcuni backup esposti sono vuoti e potrebbero essere stati creati da poco, mettendo a rischio i progetti futuri“.
Non è ancora chiaro come gli attaccanti siano entrati in possesso delle chiavi AWS. I ricercatori di Cybernews ipotizzano che possano averle raccolte dai repository pubblici, caricate per errore dagli sviluppatori, oppure sfruttando delle configurazioni errate di tool di CI/CD che espongono le credenziali.
Altre possibilità comprendono file di configurazione delle web app con credenziali in chiaro, utenti IAM inattivi di cui non vengono ruotate le chiavi di accesso e in generale qualsiasi tool, dashboard o password manager compromesso.
I ricercatori non sono ancora riusciti a individuare i cybercriminali dietro la campagna ransomware contro i bucket S3 AWS. Stando alle informazioni condivise finora, si tratta di un’operazione altamente automatizzata.
Il team di Cybernews consiglia di aumentare la sicurezza degli ambienti AWS disabilitando le chiavi non utilizzate e ruotando quelle attive. È necessario inoltre implementare AWS Config e GuardDuty per identificare pattern di accesso sospetti e usare tool automatizzati per scansionare repository pubblici in cerca di eventuali chiavi esposte.
Si consiglia infine di applicare il principio del least privilege ai ruoli IAM nei bucket, rimuovere le credenziali hardcoded nelle applicazioni e configurare delle policy per ridurre l’uso della crittografia SSE-C.
Condividi l'articolo
XorDDoS, il DDoS contro Linux evolve e continua a mietere vittime
Aggiornato: Addio a CVE - il governo U.S.A. (sospende) riprende i finanziamenti per il programma
Articoli correlati
Altro in questa categoria
Approfondimenti
-
XorDDoS, il DDoS contro Linux evolve e continua a mietere... I ricercatori di Cisco Talos hanno pubblicato una nuova... -
Slopsquatting: quando l’IA consiglia pacchetti che... La diffusione dell’IA e il progressivo miglioramento... -
Agenti di IA: un’arma potente nelle mani del... Gli agenti di IA stanno diventando sempre più capaci, in... -
PDF pericolosi: il 22% degli attacchi proviene da questi... I file PDF possono diventare molto pericolosi: stando a una... -
L’Italia è tra gli obiettivi principali del... L’Italia è tra i principali obiettivi del cybercrime...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
XorDDoS, il DDoS contro Linux evolve e continua a mietere... I ricercatori di Cisco Talos hanno pubblicato una nuova...
-
Migliaia di chiavi AWS usate in un attacco ransomware Alcuni ricercatori di sicurezza hanno scoperto una nuova... -
Aggiornato: Addio a CVE – il governo U.S.A.... Aggiornamento: “Il programma CVE ha un valore... -
Defender for Endpoint bloccherà gli IP sconosciuti per... Microsoft sta per rilasciare una nuova funzionalità di... -
Slopsquatting: quando l’IA consiglia pacchetti che... La diffusione dell’IA e il progressivo miglioramento...
Ransomware: la serie
No posts found.
