Pesquisadores identificaram uma nova onda de ransomware passando buckets do Amazon S3, o principal serviço de armazenamento em nuvem da AWS usado por empresas para salvar dados críticos.
Diferente do ransomware tradicional, que utiliza malware para criptografar arquivos, esses ataques aproveitam as falhas e configurações equivocadas, bloqueando o acesso legítimo aos dados sem precisar implantar código malicioso.
Criminosos obtêm acesso indevido por meio de chaves vazadas em repositórios públicos, contas AWS comprometidas ou credenciais roubadas, procurando buckets sem proteção (ex: versionamento desativado, ausência de bloqueio de objeto e permissões de escrita indevida).
Uma vez dentro, você pode criptografar dados, excluir arquivos originais ou extrair informações seguras, exigindo resgate para devolver o acesso. Essas técnicas utilizam recursos nativos da nuvem, dificultando a detecção pelos mecanismos tradicionais.
Variantes e técnicas observadas
Especialistas da Trend Micro catalogaram cinco variantes de ransomware para ambientes S3, cada uma explorando diferentes lacunas de configuração ou política de acesso.
O maior perigo é o uso de criptografia do lado do servidor com chave fornecida pelo cliente (SSE-C). Nesse cenário, o atacante usa sua própria chave AES-256 no pedido de escrita; A AWS aceita o conteúdo criptografado mas não armazena a chave, registrando apenas um HMAC irreversível — ou seja, os dados ficam permanentemente inacessíveis se a chave não for conhecida.
O atacante deposita instruções de resgate nos buckets afetados (“ransom-note.txt”), detalhando como proceder para recuperar os arquivos.
Riscos e impacto
Os ataques são rápidos, impossibilitando a recuperação dos dados pela própria AWS. As empresas sofrem perda total de informações e paralisação operacional, além de possíveis vazamentos, se não tiverem backups externos integrados.
Recomendações de defesa
- Implemente políticas de controle para bloquear requisições PutObject com cabeçalhos de algoritmo de criptografia cliente no nível do bucket ou da organização.
- Monitore o CloudTrail para atividades anômalas de SSE-C e restrinja as permissões IAM e o bucket ao mínimo necessário.
- Habilite versionamento e bloqueio de objetos em buckets de dados sensíveis.
- Mantenha backups offline e segregados do ambiente de nuvem, testando periodicamente procedimentos de restauração.
- Revise periodicamente as políticas de acesso e monitore repositórios públicos em busca de vazamentos de chaves ou segredos.
A profissionalização das gangues de ransomware e a adaptação às realidades da nuvem reforçam a necessidade de configuração rigorosa, monitoramento contínuo e práticas sólidas de backup para evitar prejuízos irreversíveis.
