Um novo ransomware, chamado Codefinger, está colocando empresas que utilizam os serviços da Amazon Web Services (AWS) em alerta. Descoberto pela equipe de pesquisa da Halcyon, esse malware vai além do comum e utiliza a infraestrutura de criptografia da própria AWS para bloquear arquivos, tornando-os praticamente impossíveis de recuperar sem a chave dos atacantes.
O que torna o Codefinger tão perigoso?
Diferente dos ransomwares tradicionais, o Codefinger não explora vulnerabilidades da AWS. Ele aproveita credenciais fracas ou já comprometidas para acessar contas e realiza ataques direcionados, bloqueando dados críticos com chaves simétricas AES-256.
Segundo a Halcyon, os arquivos criptografados são protegidos por SSE-C, o sistema de criptografia da AWS. Assim, somente os atacantes têm a chave de descriptografia, o que dificulta ou impossibilita o acesso aos dados sem pagar o resgate.
Como funciona o ataque?
O fluxo do Codefinger segue estas etapas:
- Busca por chaves expostas: Ele rastreia chaves da AWS vazadas ou disponíveis publicamente.
- Criptografia com SSE-C: Os arquivos são trancados com uma chave AES-256 gerada localmente.
- Política de exclusão: Define um prazo (geralmente 7 dias) para deletar os arquivos automaticamente, usando o S3 Object Lifecycle Management.
- Ameaças diretas: Deixa avisos em diretórios afetados informando que alterações nos arquivos ou permissões encerram qualquer negociação.
Risco para empresas
Segundo os pesquisadores, o Codefinger representa um grande perigo para organizações que utilizam o AWS S3 para armazenar dados sensíveis. Se o ataque se espalhar rapidamente, ele pode causar um impacto sistêmico, interrompendo operações e gerando grandes perdas financeiras.
O que diz a Amazon?
Em resposta à situação, a Amazon destacou seu compromisso com a segurança:
“A AWS segue um modelo de responsabilidade compartilhada, ajudando os consumidores a manter seus recursos na nuvem seguros. Sempre investigamos relatos de chaves expostas e tomamos ações rapidamente”, afirmou um porta-voz.
Além disso, a empresa reforçou a importância de:
- Usar autenticação de dois fatores;
- Evitar senhas fracas ou reutilizadas;
- Adotar práticas de segurança robustas para prevenir incidentes.
Como se proteger?
Para evitar ataques como o Codefinger, é essencial:
- Revisar suas configurações de segurança na AWS regularmente;
- Habilitar autenticação multifator;
- Monitorar e rotacionar frequentemente as chaves de acesso.
O Codefinger é um alerta claro de que boas práticas de segurança nunca podem ser ignoradas. Fique atento!
