Ce ransomware rend la vie difficile aux utilisateurs d'AWS
Un nouveau ransomware baptisé Codefinger fait parler de lui. Sa particularité est de crypter les fichiers stockés sur AWS. En revanche, les ficelles grâce auxquelles le logiciel malveillant obtient l'accès aux comptes des utilisateurs ne sont pas nouvelles.
Quiconque stocke des données dans le cloud d'Amazon Web Services (AWS) pourrait se retrouver dans le collimateur de Codefinger. Ce ransomware sévit depuis quelque temps et plusieurs fournisseurs de cybersécurité sonnent l'alarme. Selon ces rapports, Codefinger fait ce que font tous les ransomwares : il crypte les fichiers et laisse une demande de rançon. Ce n'est qu'en échange d'un paiement que les criminels derrière le malware livrent la clé de décryptage.
Ce qui distingue Codefinger, c'est le fait que le programme crypte les fichiers directement dans la mémoire d'AWS, comme l'indique un article de Forbes s'appuyant notamment sur une analyse du fournisseur de cybersécurité Halcyon. Pour ce faire, le malware utilise un service proposé par AWS, à savoir le cryptage côté serveur avec des clés générées par le client (« server-side encryption with customer-provided keys », également appelé SSE-C). Une fois cryptés, les fichiers ne peuvent être récupérés qu'avec l'aide des cybercriminels et de la clé de décryptage qu'ils détiennent, explique Halcyon. La plupart des ransomwares connus jusqu'à présent ne chiffrent pas les données directement dans un stockage cloud, mais en local sur l'appareil des utilisateurs finaux ou durant le trajet entre l'utilisateur et le cloud, souligne Forbes.
AWS n'y peut rien
Reste la question de savoir comment Codefinger peut accéder aux mémoires AWS (AWS S3 Bouquets). Le fournisseur de cybersécurité Kaspersky fournit une réponse. L'entreprise écrit que l'on trouve sur le Darknet un grand nombre d'informations de compte compromises permettant d'accéder à AWS par divers moyens. Dans de nombreux cas, ces données d'accès ont été collectées par d'autres programmes malveillants (Infostealers) spécialisés dans le vol d'informations de connexion. Codefinger n'exploite donc pas une faille, mais utilise pour ses attaques les données d'accès des clients AWS transmises par inadvertance ou obtenues de manière criminelle.
AWS assure à Forbes qu'il aide ses clients à sécuriser leurs données, mais qu'il adopte une approche de partage des responsabilités. «Chaque fois qu'AWS apprend l'existence de clés exposées, nous en informons les clients concernés. En outre, nous analysons en profondeur tous les rapports concernant des clés librement accessibles et prenons rapidement toutes les mesures nécessaires, comme l'application de politiques de quarantaine, afin de minimiser les risques pour les clients sans affecter leur environnement IT», écrit l'entreprise.
