据Cybernews的报告，攻击者利用超过1200个被盗的AWS访问密钥，对AWS S3存储桶中的数据进行加密，并留下勒索信，要求受害者支付0.3比特币（约合2.5万美元）的赎金。

此次攻击的隐蔽性极高，攻击者利用了AWS S3的服务器端加密功能（SSE-C），通过自动生成的AES-256加密密钥对数据进行加密。这种加密方式使得数据所有者在不知情的情况下，数据被悄然锁定，且由于SSE-C不会触发常规的警告或文件删除日志，存储桶的结构也未发生改变，因此许多受害者可能在一段时间内都未能察觉数据已被加密。

研究人员在调查中发现了一个包含超过1.58亿条AWS密钥记录的数据库，其中1229个是独特的登录凭证。这些被盗密钥的来源可能多种多样，包括开发者在公共代码存储网站如GitHub上错误地公开了秘密登录信息、CI/CD工具（如Jenkins）中的漏洞、Web应用程序中配置错误的私有文件、开发工具或密码管理器的数据泄露，以及未被监控的旧IAM用户账户中过时的凭证。

此次勒索软件攻击活动的组织性和危险性极高，攻击者似乎并不依赖复杂的黑客技术，而是单纯利用被盗的AWS密钥来实施攻击。这种攻击方式不仅使得新创建的、原本为空的备份也可能面临风险，而且攻击过程高度自动化，每个受影响的S3存储桶都有一个独特的勒索信，包含特定的比特币支付地址和用于联系攻击者的电子邮件地址。

面对如此严峻的云安全威胁，网络安全专家建议企业立即采取行动，包括审计和更新IAM凭证、实施AWS安全服务、扫描暴露的密钥、强制执行短生命周期的令牌和最小权限原则，以及限制SSE-C的使用，并进行详细的日志记录。AWS自身也提供了多种安全工具和服务，如IAM角色、Identity Center和Secrets Manager等，以帮助客户最大限度地减少凭证暴露的风险并提高防御能力。

资讯来源：hackread

转载请注明出处和本文链接

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课