Palo Alto Networks обнаружиламасштабную вымогательскую кампанию, которая затронула более 100 000 доменов. Злоумышленники использовали неправильно настроенные ENV-файлы в AWS, чтобы получить доступ к данным в облачных хранилищах и потребовать за них выкуп.
Атака отличалась высокой степенью автоматизации и глубоким знанием облачной архитектуры. Основные ошибки пользователей облачных сервисов, которые позволили скомпрометировать данные, включают: отсутствие защиты переменных окружения, использование постоянных учетных данных и нехватка мер по ограничению привилегий.
Эксплуатируя обнаруженные уязвимости, злоумышленники получили доступ к облачным хранилищам данных жертв и вымогали деньги, размещая записки с требованиями выкупа в скомпрометированных хранилищах. При этом данные не шифровались, а просто извлекались, что позволило вымогателям шантажировать жертв угрозой утечки информации.
Атака разворачивалась на облачных платформах Amazon Web Services (AWS), где злоумышленники настроили свою инфраструктуру, сканируя более 230 миллионов уникальных целей в поисках конфиденциальной информации. Для обхода систем безопасности злоумышленники использовали сеть Tor, VPN и VPS.
В результате атаки пострадали 110 000 доменов, и было найдено более 90 000 уникальных переменных в .env файлах. Среди них 7 000 были связаны с облачными сервисами, а 1 500 – с аккаунтами в соцсетях.
Ключевую роль в успехе атаки сыграли ошибки конфигурации внутри пострадавших организаций, которые случайно сделали .env-файлы общедоступными. ENV-файлы часто содержат ключи доступа и другие секретные данные, что позволило злоумышленникам получить первоначальный доступ и повысить свои привилегии в облачных средах жертв.
Анализ проведенной атаки показал, что злоумышленники с помощью API запросов собирали информацию о среде и услугах AWS, в том числе о службах IAM, S3 и SES, чтобы расширить свое влияние на облачные инфраструктуры жертв. Они также пытались повысить свои привилегии, создавая новые роли IAM с неограниченным доступом.
Организациям, которые хотят защитить свои облачные среды, рекомендуется соблюдать принципы минимальных привилегий, использовать временные учетные данные и включать все возможные журналы событий для обеспечения мониторинга и выявления подозрительных действий. Включение расширенных механизмов безопасности Amazon, таких как GuardDuty и CloudTrail, также может значительно повысить уровень защиты облачных ресурсов.