一个名为 “Codefinger ”的勒索软件团伙正在使用 AWS 的服务器端加密选项和客户提供的密钥（SSE-C）对目标组织的 AWS S3 存储桶中存储的数据进行加密，并要求客户交出他们使用的密钥。他们不会事先将数据外泄，而是将加密文件标记为在七天内删除，从而增加了企业支付赎金的压力。

攻击是如何展开的？

威胁者利用目标之前泄露的（无论是被盗还是无意泄露的）AWS 密钥，这些密钥拥有读写 S3 对象的权限。“攻击者通过调用 x-amz-server-side-encryption-customer-algorithm 标头，利用他们生成并存储在本地的 AES-256 加密密钥启动加密过程，”Halcyon 研究团队解释道。

“AWS 会在加密操作过程中处理密钥，但不会将其存储起来。相反，AWS CloudTrail 中只记录了一个 HMAC（基于散列的消息验证码）。这个HMAC不足以重建密钥或解密数据。”

因此，如果目标组织没有加密数据的备份，实际上就会被迫付费。而且，在谈判过程中，他们无法对账户权限进行更改，因为攻击者威胁要保持沉默，让受害者束手无策。

该团队表示，将数据存储在 AWS S3 存储桶中的组织应该重视这些信息，并在这种攻击方法被更广泛地采用之前采取行动，使这种攻击成为不可能。(据他们所知，最近几周就有两家机构受到了攻击）。

“使用 IAM 策略中的 “条件 ”元素来防止 SSE-C 应用于 S3 存储桶。可以对策略进行配置，将此功能限制在授权数据和用户范围内，”他们建议说。“定期检查所有 AWS 密钥的权限，确保它们拥有最低要求的访问权限。禁用未使用的密钥，并经常轮换使用中的密钥。”他们还建议为 S3 操作启用详细的日志记录，以便能够快速检测到异常活动并采取相应措施。

（来自：安全客）