Grupo de ransomware abusa del cifrado nativo de AWS
2025-01-14
Un nuevo grupo de ransomware, llamado 'Codefinger', está atacando los buckets de AWS S3 y aprovechando el propio cifrado del lado del servidor de la gigante de la nube con claves proporcionadas por el cliente (SSE-C) para bloquear los datos de las víctimas. Usan claves AWS filtradas para cifrar archivos con AES-256 y establecen un temporizador de autodestrucción de 7 días. Este enfoque único explota las propias características de seguridad de AWS, lo que dificulta la recuperación de datos sin la clave del atacante. Los expertos en seguridad recomiendan restringir el uso de SSE-C, auditar regularmente las claves de AWS e implementar el principio de menor privilegio para mitigar el riesgo.