Hack Alerta

Cinco variantes de ransomware miram buckets Amazon S3 e abusam de configurações

Por Redação Hack Alerta Publicado em 20/11/2025 12:03 Cloud Tempo de leitura: 3 min

Pesquisadores da Trend Micro documentaram cinco variantes de ransomware que atacam buckets Amazon S3 explorando credenciais roubadas, permissões excessivas e configurações inseguras (desativação de versioning, ausência de Object Lock). Uma técnica particularmente perigosa usa SSE‑C (Server‑Side Encryption with Customer‑Provided Keys), criando dados irrecuperáveis quando a chave do atacante é usada para criptografar objetos.

Ataques recentes demonstram uma transição dos operadores de ransomware para vetores que exploram controles de acesso fracos e configurações incorretas em ambientes cloud, com foco em buckets Amazon S3.

Panorama e descoberta

Pesquisadores da Trend Micro identificaram cinco variantes distintas que visam ambientes de armazenamento S3. Ao contrário do ransomware tradicional, muitas dessas campanhas não dependem de um executável local; os atacantes exploram credenciais roubadas, chaves expostas em repositórios públicos e contas AWS comprometidas com permissões excessivas para assumir o controle dos buckets.

Métodos observados

As variantes documentadas usam diferentes técnicas para tornar os dados irrecuperáveis ou bloquear o acesso das vítimas:

  • uso de Server‑Side Encryption com Customer‑Provided Keys (SSE‑C), em que o atacante fornece a chave AES‑256 localmente e AWS não armazena a chave — deixando os objetos inacessíveis se a chave for removida ou perdida;
  • manipulação de chaves gerenciadas pelo cliente com linhas de vida/scheduled deletion que programam a destruição das chaves;
  • remoção de versões de objetos, desativação de Object Lock e falta de versioning nos buckets para impedir recuperação via backups internos;
  • exfiltração prévia de dados seguida de exclusão e depósito de notas de resgate no bucket afetado (por exemplo "ransom-note.txt").

Por que essas técnicas são graves

No caso do SSE‑C, a AWS grava apenas um HMAC da chave nas trilhas de auditoria (CloudTrail), que não é reversível — o resultado é que nem a vítima nem a AWS conseguem recuperar os dados sem a chave original. Essas técnicas exploram características nativas da plataforma para causar perda permanente quando políticas e controles adequados não estão em vigor.

Detecção e mitigação

A Trend Micro recomenda medidas concretas:

  • bloquear PutObject que contenham cabeçalhos de client‑provided encryption a nível de bucket ou por políticas da organização (SCP/IAM) para prevenir SSE‑C;
  • habilitar versioning e Object Lock em buckets críticos e garantir que chaves de criptografia sejam rotacionadas e geridas por KMS com controles de acesso restritos;
  • monitorar CloudTrail para atividades SSE‑C e outras ações incomuns de PutObject/PutBucketPolicy;
  • rever permissões IAM para evitar contas com privilégios excessivos e prevenir exposição de chaves em repositórios públicos.

Limitações das informações

As fontes documentam técnicas e incidentes observados, mas não apresentam contagens públicas consolidadas de vítimas por variante. O trabalho contém exemplos reais e vetores potenciais a serem considerados pelas equipes de segurança cloud.

Conclusão

Com a migração massiva para a nuvem, equipes de segurança devem integrar políticas nativas da plataforma, proteção de chaves e monitoramento de auditoria como parte central da estratégia de defesa contra ataques que não dependem de malware tradicional, mas sim de controles e configurações falhas.

Baseado em publicação original de Trend Micro
Tags: #s3 #ransomware #cloud #aws #sse-c #kms #cloudtrail #versioning #object-lock
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar