در ژانویه ۲۰۲۵، گروه باجافزاری Codefinger حملهای پیچیده را علیه کاربران AWS ترتیب داده و با استفاده از کلیدهای دسترسی AWS بهدستآمده، باکتهای S3 را رمزگذاری کردند. این حمله نشاندهنده یک تهدید بزرگ برای سازمانهایی است که از سرویسهای ابری استفاده میکنند.
جزئیات حمله:
- دسترسی غیرمجاز:
مهاجمان از کلیدهای AWS بهدستآمده از طریق حملات فیشینگ، سوءاستفاده از اعتبارنامههای افشا شده، یا تنظیمات نادرست امنیتی استفاده کردند تا به باکتهای S3 قربانیان دسترسی پیدا کنند. - رمزگذاری دادهها:
باکتهای S3 هدف، پس از دسترسی، رمزگذاری شدند تا قربانیان دسترسی به دادههای خود را از دست بدهند. - درخواست باج:
پس از رمزگذاری، گروه Codefinger با ارسال پیامهای باجخواهی، درخواست پرداخت پول برای بازگرداندن دسترسی به دادهها کردند. - پیامدها:
قربانیان شامل شرکتهایی بودند که دادههای حساس و حیاتی را در باکتهای S3 ذخیره کرده بودند. حمله باعث شد تا عملیات روزانه آنها مختل شود و خطر افشای دادهها نیز افزایش یابد.
روشهای جلوگیری و توصیهها:
- مدیریت کلیدهای AWS:
- از کلیدهای دسترسی موقت بهجای کلیدهای ثابت استفاده کنید.
- کلیدهای قدیمی و غیرضروری را غیرفعال کرده و دسترسیهای غیرضروری را حذف کنید.
- پیکربندی مناسب باکتهای S3:
- دسترسی به باکتها را محدود کنید و سیاستهای امنیتی سختگیرانه اعمال کنید.
- از رمزگذاری پیشفرض برای دادههای ذخیرهشده در باکت استفاده کنید.
- نظارت مداوم:
- از ابزارهای نظارتی AWS مانند CloudTrail و GuardDuty برای شناسایی فعالیتهای مشکوک استفاده کنید.
- لاگهای دسترسی به باکتها را بررسی و تحلیل کنید.
- استفاده از IAM Roles:
- بهجای استفاده از کلیدهای دسترسی مستقیم، از IAM Roles برای تخصیص دسترسی به سرویسها استفاده کنید.
یک نظر