Un groupe de rançongiciels abuse du chiffrement natif d'AWS
2025-01-14
Un nouveau groupe de rançongiciels, baptisé 'Codefinger', cible les buckets AWS S3 et exploite le propre chiffrement côté serveur du géant du cloud avec des clés fournies par le client (SSE-C) pour verrouiller les données des victimes. Ils utilisent des clés AWS compromises pour chiffrer les fichiers avec AES-256 et définissent un minuteur d'autodestruction de 7 jours. Cette approche unique exploite les propres mécanismes de sécurité d'AWS, rendant la récupération des données difficile sans la clé de l'attaquant. Les experts en sécurité recommandent de restreindre l'utilisation de SSE-C, d'auditer régulièrement les clés AWS et d'appliquer le principe du moindre privilège pour atténuer les risques.