El ransomware sigue siendo una amenaza cibernética constante. Ya sea por grupos como los responsables de los ataques Play o los conocidos como LockBit, las consecuencias de ser víctima de un ataque de este tipo son cada vez más evidentes.
Ahora, un nuevo ransomware llamado Codefinger está apuntando a los usuarios de Amazon Web Services (AWS), específicamente a aquellos que usan los buckets S3. Aquí te contamos todo lo que necesitas saber.
Ataques de ransomware Codefinger a usuarios de Amazon Cloud
El 13 de enero, el equipo de investigación Halcyon reportó una nueva campaña de ransomware dirigida a usuarios de AWS por un actor conocido como Codefinger.
Este ataque aprovecha la encriptación del lado del servidor de AWS (SSE-C), que permite que los usuarios proporcionen sus propias claves de encriptación.
Los atacantes encriptan los datos y luego exigen un pago para proporcionar las claves AES-256 necesarias para la recuperación de la información.
Lo que hace este ataque particularmente peligroso es que, al integrarse directamente con la infraestructura de encriptación segura de AWS, la recuperación de los datos es imposible sin la clave del atacante.
Halcyon advierte que, si este ataque se propaga rápidamente, podría representar una amenaza sistémica para las organizaciones que usan AWS S3 para almacenar datos críticos.
¿Por qué es peligroso el uso de SSE-C en este ataque?
A diferencia de los ataques tradicionales de ransomware, que encriptan archivos localmente o en tránsito, Codefinger se conecta directamente con la infraestructura de encriptación de AWS.
Esto significa que, una vez que los datos están encriptados, no hay forma de recuperarlos sin el atacante.
Aunque no explota ninguna vulnerabilidad de AWS, el ataque depende de obtener las credenciales de la cuenta de un usuario, algo que se logra mediante métodos de ingeniería social o ataques de credenciales.
Flujo del ataque Codefinger
El flujo del ataque, según el informe de Halcyon, es el siguiente:
- Identificación de claves AWS vulnerables mediante claves comprometidas públicamente o previamente filtradas.
- Encriptación de archivos usando SSE-C con una clave AES-256 generada y almacenada localmente por el atacante.
- Aplicación de políticas de ciclo de vida para la eliminación de archivos, configurando un plazo de 7 días para presionar por el pago del rescate.
- Entrega de una nota de rescate en cada directorio afectado, advirtiendo que cualquier cambio en los permisos de la cuenta o en los archivos finalizará las negociaciones.
El debate sobre los pagos de ransomware y las implicaciones legales
En medio de la creciente amenaza de ransomware, algunos gobiernos, como el del Reino Unido, están considerando prohibir los pagos de rescate a ciertas víctimas, como las empresas de infraestructuras nacionales. Este tema está siendo muy debatido en la comunidad de seguridad.
Según Javvad Malik, responsable de concientización sobre seguridad en KnowBe4, si bien la mayoría está de acuerdo en que pagar un rescate no es lo ideal, prohibirlo por ley presenta desafíos.
Las empresas a menudo se enfrentan a una difícil decisión cuando los ataques ocurren y la presión de los accionistas, clientes y el gobierno aumenta.
Dr. Darren Williams, CEO de BlackFog, enfatiza que los grupos de ransomware son motivados por el lucro, y a menudo apuntan a aquellos más propensos a pagar. Sin embargo, pagar el rescate no garantiza que los atacantes cumplirán con su parte del trato, ya que pueden atacar de nuevo poco después.
Por su parte, Jochen Michels de Kaspersky argumenta que pagar rescates perpetúa el ciclo del crimen. Sin embargo, en ataques como el de Codefinger, donde la recuperación es imposible sin pagar, el dilema se vuelve aún más complejo.
En estos casos, propone que los gobiernos brinden apoyo financiero para la recuperación o incluso indemnizaciones si se determina que pagar el rescate es la única opción viable.
Conclusión
El ataque de Codefinger destaca cómo los métodos tradicionales de ransomware siguen evolucionando y volviéndose más sofisticados.
Este ataque, en particular, resalta la importancia de mantener prácticas de seguridad robustas, como el uso de contraseñas únicas, autenticación de dos factores (2FA) y monitoreo constante de las cuentas.
Además, plantea interrogantes sobre la ética de pagar rescates y la necesidad de apoyo gubernamental en situaciones donde la recuperación parece imposible sin el pago.