Ошибка конфигурации AWS привела к компрометации 110 000 доменов

leer en español

Ошибка конфигурации AWS привела к компрометации 110 000 доменов

Уязвимости в ENV-файлах привели к массовому вымогательству.

image

Palo Alto Networks обнаружила масштабную вымогательскую кампанию, которая затронула более 100 000 доменов. Злоумышленники использовали неправильно настроенные ENV-файлы в AWS, чтобы получить доступ к данным в облачных хранилищах и потребовать за них выкуп.

Атака отличалась высокой степенью автоматизации и глубоким знанием облачной архитектуры. Основные ошибки пользователей облачных сервисов, которые позволили скомпрометировать данные, включают: отсутствие защиты переменных окружения, использование постоянных учетных данных и нехватка мер по ограничению привилегий.

Эксплуатируя обнаруженные уязвимости, злоумышленники получили доступ к облачным хранилищам данных жертв и вымогали деньги, размещая записки с требованиями выкупа в скомпрометированных хранилищах. При этом данные не шифровались, а просто извлекались, что позволило вымогателям шантажировать жертв угрозой утечки информации.

Атака разворачивалась на облачных платформах Amazon Web Services (AWS), где злоумышленники настроили свою инфраструктуру, сканируя более 230 миллионов уникальных целей в поисках конфиденциальной информации. Для обхода систем безопасности злоумышленники использовали сеть Tor, VPN и VPS.

В результате атаки пострадали 110 000 доменов, и было найдено более 90 000 уникальных переменных в .env файлах. Среди них 7 000 были связаны с облачными сервисами, а 1 500 — с аккаунтами в соцсетях.

Ключевую роль в успехе атаки сыграли ошибки конфигурации внутри пострадавших организаций, которые случайно сделали .env-файлы общедоступными. ENV-файлы часто содержат ключи доступа и другие секретные данные, что позволило злоумышленникам получить первоначальный доступ и повысить свои привилегии в облачных средах жертв.

Анализ проведенной атаки показал, что злоумышленники с помощью API запросов собирали информацию о среде и услугах AWS, в том числе о службах IAM, S3 и SES, чтобы расширить свое влияние на облачные инфраструктуры жертв. Они также пытались повысить свои привилегии, создавая новые роли IAM с неограниченным доступом.

Организациям, которые хотят защитить свои облачные среды, рекомендуется соблюдать принципы минимальных привилегий, использовать временные учетные данные и включать все возможные журналы событий для обеспечения мониторинга и выявления подозрительных действий. Включение расширенных механизмов безопасности Amazon, таких как GuardDuty и CloudTrail, также может значительно повысить уровень защиты облачных ресурсов.

Ньютон уронил яблоко. Мы роняем челюсти!

Гравитация научных фактов сильнее, чем вы думаете

Подпишитесь и испытайте интеллектуальное падение