تستهدف موجة جديدة من هجمات الفدية البيئات التخزينية السحابية، مع التركيز بشكل خاص على مستودعات Amazon Simple Storage Service (S3) التي تحتوي على بيانات أعمال هامة. تتكيف هذه الهجمات مع انتقال المزيد من الشركات إلى السحابة، حيث يستغل المهاجمون نقاط الضعف في التحكم في الوصول وإعدادات التكوين الخاطئة لتقييد وصول المؤسسات إلى بياناتها.
على عكس برامج الفدية التقليدية التي تشفر الملفات باستخدام برامج ضارة، تعتمد هذه الهجمات على استغلال الثغرات الأمنية الموجودة في البيئات السحابية. يمكن أن تؤدي هذه الهجمات إلى فقدان كامل للبيانات وتعطيل العمليات وخسائر مالية فادحة إذا لم تكن لدى المؤسسات أنظمة نسخ احتياطي واستعادة مناسبة.
مخاطر الفدية الجديدة تستهدف Amazon S3
يكتسب المهاجمون وصولاً غير مصرح به إلى مستودعات S3 عبر بيانات اعتماد مسروقة، أو مفاتيح وصول مسربة موجودة في مستودعات التعليمات البرمجية العامة، أو حسابات AWS مخترقة تمتلك صلاحيات مفرطة. بمجرد الدخول، يحددون دلاء S3 الضعيفة من خلال البحث عن نقاط ضعف محددة مثل تعطيل ميزات التحكم في الإصدارات، أو عدم وجود حماية لقفل الكائنات، أو أذونات الكتابة غير الصحيحة.
بعد ذلك، يقوم المهاجمون بتشفير البيانات باستخدام تقنيات تشفير متنوعة، أو يحذفون الملفات الأصلية، أو يستخرجون المعلومات الحساسة قبل المطالبة بدفع فدية. ما يجعل هذه الهجمات خطيرة بشكل خاص هو قدرتها على استخدام ميزات سحابية أصلية لتنفيذ أنشطة ضارة مع البقاء بعيدة عن أدوات المراقبة الأمنية التقليدية.
حدد باحثو الأمن السيبراني في Trend Micro خمسة أنواع مميزة من برامج الفدية التي تستهدف على وجه التحديد بيئات تخزين S3، ويستخدم كل منها طرق هجوم مختلفة لتحقيق تشفير البيانات أو حذفها. تتراوح هذه الأنواع من استخدام مفاتيح التشفير التي يديرها العملاء مع جداول حذف مجدولة إلى استخدام تشفير من جانب الخادم مع مفاتيح يقدمها العملاء والتي لا يمكن لـ AWS استعادتها.
تقدم تحليلات الباحثين تفصيلات تقنية لكيفية عمل كل نوع من أنواع التهديدات وما هي الإجراءات الأمنية التي يمكنها منع هذه الهجمات. وتوضح هذه التقارير التقنية أساليب الهجوم التي لوحظت في حوادث واقعية، بالإضافة إلى نواقل الهجوم المستقبلية المحتملة التي يجب على المؤسسات الاستعداد للدفاع ضدها.
آلية الهجوم والتنفيذ التقني
يُعد التشفير من جانب الخادم باستخدام المفاتيح المقدمة من العميل (SSE-C) أحد أخطر أساليب الهجوم لأنه يؤدي إلى بيانات مشفرة لا يمكن استعادتها بشكل دائم. في هذا النهج، يحصل المهاجمون أولاً على إذن كتابة لدلاء S3 الضحية عبر بيانات اعتماد مخترقة أو أدوار IAM مسربة من مستودعات GitHub العامة.
بعد تحديد الدلاء المستهدفة التي تفتقر إلى الحماية المناسبة، يبدأ المهاجمون التشفير عن طريق توفير مفتاح تشفير AES-256 مخزن محليًا عبر رؤوس طلبات HTTP محددة أو أدوات سطر الأوامر الخاصة بـ AWS. الجانب الحاسم لهذه التقنية هو أن AWS تستخدم مفتاح التشفير الخاص بالمهاجم لتأمين البيانات، ولكنها لا تخزن المفتاح الفعلي في أنظمتها.
تسجل AWS فقط تجزئة (HMAC) لمفتاح التشفير في سجلات CloudTrail، والتي لا يمكن عكسها أو استخدامها لفك تشفير البيانات المحمية. هذا يعني أنه لا يمكن للمؤسسة الضحية ولا لفرق دعم AWS استعادة المعلومات المشفرة بمجرد اكتمال عملية التشفير من قبل المهاجم.
بعد تشفير جميع الملفات المستهدفة، يقوم المهاجمون بإيداع ملاحظات فدية في الدلاء المتأثرة، وعادة ما يسمونها “ransom-note.txt” أو صيغ مشابهة، والتي تحتوي على تعليمات للدفع والتواصل. يمكن تنفيذ الهجوم بأكمله بسرعة، ولأن مفتاح التشفير موجود فقط على أنظمة المهاجم، تواجه الضحايا قفلًا دائمًا ما لم يدفعوا الفدية أو كان لديهم نسخ احتياطية منفصلة مخزنة بشكل آمن.
يمكن للمؤسسات الحماية ضد هذا النوع من الهجمات عن طريق تنفيذ ضوابط سياسة محددة تمنع طلبات تشفير SSE-C على مستوى الدلو أو من خلال سياسات التحكم في الموارد على مستوى المؤسسة. يجب على فرق الأمن مراقبة سجلات CloudTrail بحثًا عن أنشطة تشفير SSE-C غير العادية وفرض سياسات رفض طلبات PutObject التي تحتوي على رؤوس خوارزمية تشفير مقدمة من العميل، مما يلغي بشكل فعال ناقل الهجوم هذا من بيئاتهم السحابية.