כנופיית כופרה בשם Codefinger החלה במתקפות סייבר נגד AWS S3 כשהיא משתמשת בהצפנה של ענקית הענן בצד השרת עם מפתחות שסופקו על ידי הלקוח (SSE-C), כדי לנעול את מידע הקורבנות במטרה לדרוש תשלום כופר עבור מפתחות AES-256 הסימטריים הנדרשים לפענוח. אנליסטים בחברת Halcyon טוענים שהם הבחינו לראשונה בפעילות כנופיית הכופר Codefinger בדצמבר ובשבועות האחרונים צפו בשתי מתקפות כופרה כאלו נגד לקוחותיהם – שניהם מפתחי תוכנה מקוריים של AWS.
Codefinger פורצים לאחסון בענן של קורבנות באמצעות מפתחות AWS שנחשפו לציבור, או מפתחות הרשאות כתיבה וקריאה שנפרצו כדי לבצע בקשות "s3:GetObject" ו- "s3:PutObject". לדברי טים ווסט – סמנכ"ל השירותים בצוות Halcyon RISE: "מפתחות AWS Identity IAM אשר נפרצו ודלפו משמשים לגניבת נתונים, אך אם גישה זו תזכה לאימוץ נרחב, היא עלולה להוות סיכון מערכתי משמעותי עבור ארגונים המסתמכים על AWS S3 לאחסון מידע."
לאחר ניצול המפתחות שנפרצו, משתמשת הכופרה במפתח הצפנה AES-256 המאוחסן מקומית כדי לנעול את קבצי הקורבנות. מכיוון ש- AWS מעבדים את המפתח במהלך ההצפנה אך אינם מאחסנים אותו, הקורבן אינו יכול לפענח את המידע שלו ללא המפתח שנוצר על ידי כנופיית הכופרה. בנוסף להצפנת המידע, מסמנים Codefinder את הקבצים שנפגעו למחיקה תוך שבעה ימים באמצעות S3 Object Lifecycle Management API. "זה ייחודי בכך שרוב מפעילי הכופרה אינם עוסקים בהשמדת מידע ישירה כחלק מתוכנית סחיטה כפולה, או כדי להפעיל לחץ על הקורבן לשלם את דרישת הכופר", אמר ווסט והדגיש כי "השמדת המידע מהווה סיכון נוסף לארגונים."
Codefinger משאירים פתק כופר בכל ספרייה שנפרצה, הכוללת את כתובת הביטקוין שלהם ומזהה לקוח המשויך לנתונים המוצפנים. "ההערה מזהירה ששינויים בהרשאות החשבון או הקבצים יסיימו את המשא ומתן", אמרו חוקרי Halcyon.
בעוד ווסט סירב לנקוב בשמות או לספק פרטים נוספים אודות שני קורבנות כופרת Codefinger, כולל אם הם שילמו את דרישות הכופר – הוא מציע ללקוחות AWS להגביל את השימוש ב-SSE-C. דובר AWS אמר לאתר Register שבכל פעם שענקית הענן מודעת למפתחות חשופים, היא מודיעה ללקוחות המושפעים ונוקטת במהירות בכל הפעולות הנדרשות, כמו החלת מדיניות הסגר כדי למזער סיכונים ללקוחות מבלי להפריע לסביבת ה- IT שלהם.
