Cyber suçluları, meşru AWS S3 özelliklerini kullanmaya başladı ve mağdurların dosyalarını şifrelemek için eski fidye yazılım saldırılarına benzersiz bir dönüş yaptı. Halycon’dan araştırmacılar nedavaların tümü AWS yerli yazılım geliştiricileri, bu şekilde saldırıya uğrayan birden fazla mağdurun gözlemlendiğini belirtti. Codefinger olarak adlandırılan grup, saldırıda kurbanlarının bulut depolama kovalarına halka açık veya başka şekilde tehlikeye atılmış, okuma ve yazma izinlerine sahip AWS anahtarlarıyla erişim sağladıktan sonra Amazon Web Services (AWS) sunucusu tarafından sağlanan müşteri tarafından sağlanan anahtarlar (SSE-C) kullanılarak dosyaları kilitleyerek şifreler. Ancak Codefinger’ın yaratıcılığı burada bitmiyor. Grup, dosyaları halka açıklamak veya silmekle tehdit etmiyor. Bunun yerine, tüm şifrelenmiş dosyaları bir hafta içinde silmek üzere işaretliyor ve AWS S3 yerli özelliklerini kullanıyor. Halcyon RISE Team hizmetlerinden sorumlu başkan yardımcısı Tim West, The Register’a konuşarak, bunun birinin AWS’nin yerli güvenli şifreleme altyapısını SSE-C aracılığıyla kötüye kullandığı ilk zaman olduğunu söyledi. “Tarihsel olarak AWS Kimlik IAM anahtarları sızdırılıp veri hırsızlığı için kullanılıyordu, ancak bu yaklaşım geniş çapta benimsenirse, AWS S3’e kritik verilerin depolanmasına güvenen kuruluşlar için önemli bir sistemik risk oluşturabilir,” dedi. Halcyon, mağdurları isimlendirmek istemedi ve bunun yerine AWS müşterilerini SSE-C kullanımını sınırlamaları konusunda uyardı. Amazon ise The Register’a, açığa çıkan anahtarları tespit ettiğinde yapabileceği her şeyi yaptığını ve müşterilere siber güvenlik konusunda en iyi uygulamaları izlemelerini önerdi. Bu haber doğrultusunda yapılmış bir özet spot haberi olarak: “Cyber suçluları, AWS S3 özelliklerini kullanarak şifrelenmiş dosyaları hedef alıyor. Araştırmacılara göre Codefinger grubu, AWS anahtarlarını kullanarak mağdurların bulut depolama kovalarına erişiyor ve dosyaları kilit altına alıyor. Bu yeni taktik, şifrelenmiş dosyaları bir hafta içinde silerek kurbanları tehdit ediyor. Uzmanlar, bu saldırıların kuruluşlar için ciddi bir risk oluşturabileceğini belirtiyor.”