Một làn sóng mới của các cuộc tấn công ransomware vào S3 đang nhắm mục tiêu vào các môi trường lưu trữ đám mây, đặc biệt tập trung vào các Amazon Simple Storage Service (S3) buckets chứa dữ liệu kinh doanh quan trọng. Khác với ransomware truyền thống mã hóa tệp bằng phần mềm độc hại, các cuộc tấn công này khai thác các kiểm soát truy cập yếu kém và lỗi cấu hình trong môi trường đám mây để khóa quyền truy cập dữ liệu của tổ chức.

Chuyển Dịch Mục Tiêu của Mã Độc Ransomware Sang Môi Trường Cloud

Khi ngày càng nhiều doanh nghiệp chuyển hoạt động sang đám mây, những kẻ tấn công cũng thích nghi phương pháp của mình. Chúng chuyển hướng từ các hệ thống tại chỗ sang các tài nguyên dựa trên đám mây, nơi thông tin có giá trị được lưu trữ. Những cuộc tấn công này có thể dẫn đến mất mát dữ liệu hoàn toàn, gián đoạn hoạt động và thiệt hại tài chính đáng kể nếu các tổ chức thiếu hệ thống sao lưu và phục hồi phù hợp.

Cơ Chế Xâm Nhập Ban Đầu

Các tác nhân đe dọa thực hiện các cuộc tấn công ransomware vào S3 bằng cách giành quyền truy cập trái phép thông qua nhiều con đường khác nhau. Các phương thức phổ biến bao gồm sử dụng thông tin xác thực bị đánh cắp, các khóa truy cập bị rò rỉ tìm thấy trong các kho mã nguồn công khai, hoặc các tài khoản AWS bị xâm phạm với quyền hạn quá mức.

Sau khi xâm nhập, chúng sẽ xác định các S3 bucket dễ bị tấn công bằng cách kiểm tra các điểm yếu cụ thể. Điều này bao gồm việc kiểm tra các bucket đã tắt tính năng lập phiên bản (versioning), thiếu bảo vệ khóa đối tượng (object lock protection), và có các quyền ghi không đúng cách.

Các Biến Thể Tấn Công Ransomware vào S3 Độc Đáo

Các nhà nghiên cứu bảo mật của Trend Micro đã xác định năm biến thể ransomware riêng biệt nhắm mục tiêu cụ thể vào môi trường lưu trữ S3. Mỗi biến thể sử dụng các phương pháp tấn công khác nhau để mã hóa hoặc xóa dữ liệu. Thông tin chi tiết có thể được tìm thấy tại báo cáo của Trend Micro: S3 Ransomware: A New Threat to Cloud Storage.

Phân Loại Kỹ Thuật Tấn Công

Các biến thể này bao gồm từ việc sử dụng khóa mã hóa do khách hàng quản lý với thời gian xóa đã định trước, cho đến việc tận dụng mã hóa phía máy chủ với các khóa do khách hàng cung cấp mà AWS không thể phục hồi. Phân tích của họ cung cấp các phân tích kỹ thuật chi tiết về cách mỗi biến thể hoạt động và các biện pháp bảo mật có thể ngăn chặn các cuộc tấn công ransomware vào S3 này.

Phân Tích Kỹ Thuật Biến Thể SSE-C

Biến thể Server-Side Encryption with Customer-Provided Keys (SSE-C) là một trong những phương pháp tấn công nguy hiểm nhất. Nó có khả năng tạo ra dữ liệu được mã hóa không thể phục hồi vĩnh viễn.

Chi Tiết về Cơ Chế Tấn Công SSE-C

Trong phương pháp này, các tác nhân đe dọa trước tiên sẽ giành quyền truy cập ghi vào các S3 bucket của nạn nhân. Việc này được thực hiện thông qua các thông tin xác thực bị xâm phạm hoặc các vai trò IAM bị rò rỉ từ các kho GitHub công khai. Sau khi xác định các bucket mục tiêu không có bảo vệ phù hợp, kẻ tấn công bắt đầu mã hóa dữ liệu bằng cách cung cấp khóa mã hóa AES-256 được lưu trữ cục bộ thông qua các tiêu đề yêu cầu HTTP cụ thể hoặc các công cụ dòng lệnh AWS.

Điểm mấu chốt của kỹ thuật này là AWS sử dụng khóa mã hóa của kẻ tấn công để bảo mật dữ liệu, nhưng không bao giờ lưu trữ khóa thực tế trong hệ thống của mình. AWS chỉ ghi nhật ký Hash-based Message Authentication Code (HMAC) của khóa mã hóa trong CloudTrail logs. HMAC này không thể đảo ngược hoặc được sử dụng để giải mã dữ liệu được bảo vệ.

# Ví dụ lệnh AWS CLI để mã hóa đối tượng bằng SSE-C (minh họa) 
aws s3api put-object 
    --bucket your-target-bucket 
    --key sensitive_file.txt 
    --body sensitive_file.txt 
    --sse-customer-key fileb://encryption_key.bin 
    --sse-customer-key-md5 aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 
    --sse-customer-algorithm AES256

Hậu Quả và Thách Thức Phục Hồi Dữ Liệu

Điều này có nghĩa là cả tổ chức nạn nhân lẫn đội ngũ hỗ trợ của AWS đều không thể phục hồi thông tin đã mã hóa sau khi kẻ tấn công hoàn tất quá trình mã hóa. Sau khi mã hóa tất cả các tệp mục tiêu, kẻ tấn công đặt các thông báo đòi tiền chuộc (ransom notes) vào các bucket bị ảnh hưởng, thường đặt tên là “ransom-note.txt” hoặc các biến thể tương tự. Những thông báo này chứa hướng dẫn thanh toán và cách liên lạc.

Toàn bộ cuộc tấn công ransomware vào S3 có thể được thực hiện nhanh chóng. Do khóa mã hóa chỉ tồn tại trên hệ thống của kẻ tấn công, nạn nhân đối mặt với việc bị khóa vĩnh viễn trừ khi họ trả tiền chuộc hoặc có các bản sao lưu riêng biệt được lưu trữ an toàn.

Biện Pháp Phòng Chống và Giảm Thiểu Rủi Ro

Các tổ chức có thể tự bảo vệ mình chống lại biến thể SSE-C bằng cách triển khai các kiểm soát chính sách cụ thể. Những chính sách này sẽ chặn các yêu cầu mã hóa SSE-C ở cấp bucket hoặc thông qua các chính sách kiểm soát tài nguyên toàn tổ chức.

Các Kiểm Soát Chính Sách S3

Thực hiện các chính sách sau trong AWS Identity and Access Management (IAM) hoặc các chính sách bucket:

• Deny `PutObject` với SSE-C: Ngăn chặn các đối tượng được tải lên bằng cách sử dụng mã hóa SSE-C.
• Buộc sử dụng SSE-KMS hoặc SSE-S3: Đảm bảo rằng tất cả các đối tượng phải được mã hóa bằng các phương pháp mà AWS quản lý khóa.
• Kích hoạt AWS S3 Object Lock: Bảo vệ các đối tượng khỏi bị xóa hoặc ghi đè trong một khoảng thời gian cố định.
• Kích hoạt S3 Versioning: Giúp phục hồi các phiên bản trước của đối tượng nếu chúng bị xóa hoặc thay đổi.

Giám Sát và Phát Hiện Sớm để Tăng Cường An Ninh Mạng AWS

Các đội ngũ bảo mật nên theo dõi chặt chẽ nhật ký CloudTrail để phát hiện các hoạt động mã hóa SSE-C bất thường. Đồng thời, cần thực thi các chính sách từ chối các yêu cầu PutObject chứa tiêu đề thuật toán mã hóa do khách hàng cung cấp. Điều này giúp loại bỏ hiệu quả vector tấn công này khỏi môi trường đám mây của họ, củng cố an ninh mạng AWS.

# Ví dụ cấu hình chính sách bucket S3 để từ chối SSE-C
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenySSECuploads",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::your-bucket-name/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-server-side-encryption-customer-algorithm": "AES256"
                }
            }
        }
    ]
}