Investigadores de Halcyon RISE Team han advertido de que un actor de amenazas llamado Codefinger ha encontrado una manera de usar una característica de Amazon Web Services (AWS) para cifrar datos en los buckets S3 de sus víctimas. AWS ofrece una opción de cifrado llamada “Server-Side Encryption with Customer Provided Keys (SSE-C)”, que permite a los clientes usar sus propias claves de cifrado para proteger sus datos.
Sin embargo, Codefinger ha aprovechado esta característica para cifrar los datos de las víctimas y luego exigir un rescate para proporcionar la clave de descifrado. Los atacantes obtienen las credenciales de AWS de las víctimas, generalmente a través de redes comprometidas o ataques de phishing, y las usan para acceder a los buckets S3 y aplican el cifrado con una clave AES-256 que ellos mismos generan y almacenan localmente.
Los atacantes marcan los archivos para ser eliminados en siete días, creando presión para que las víctimas paguen el rescate.