Les groupes de rançongiciels semblent maintenant adopter une nouvelle tactique. Celle-ci permet d’utiliser un gestionnaire de fichiers S3 grand public dans le but de compromettre les environnements AWS. Avec cette méthode, les attaquants ont la possibilité d’exfiltrer des données sensibles en se fondant dans le trafic réseau habituel.
L’évolution des menaces numériques montre une transition inquiétante des attaques traditionnelles vers des cibles basées dans le cloud. Alors que les entreprises renforcent la sécurité de leurs terminaux, les pirates informatiques recherchent des failles dans les infrastructures dématérialisées.
Récemment, des experts en sécurité ont mis en lumière une technique utilisée par un groupe notoire. Celle-ci consiste à détourner un logiciel d’administration couramment utilisé par les développeurs ainsi que les administrateurs système. Cette approche permet aux intrus de manipuler des compartiments de stockage sans déployer de logiciels malveillants complexes. Ainsi, la détection devient beaucoup plus difficile pour les équipes de défense.
L’utilisation détournée d’un client S3 pour compromettre les données
La gestion des risques numériques exige une rigueur comparable à celle appliquée en gestion de paie lorsqu’il faut déterminer avec précision un salaire brut net. Dans le cas présent, les assaillants utilisent des identifiants compromis pour s’introduire dans l’environnement cloud de la victime. Une fois l’accès obtenu, ils installent une version exécutable d’un client S3 bien connu. Ce logiciel devient alors l’arme principale de l’attaque.
L’opération se déroule en plusieurs étapes méthodiques observées par les chercheurs. Contrairement aux attaques classiques qui se focalisent sur le chiffrement immédiat des machines locales, cette technique vise spécifiquement les données hébergées à distance.
Les cybercriminels configurent l’outil avec les clés d’accès dérobées. Cela leur permet de naviguer dans l’arborescence des fichiers de l’entreprise comme le ferait un administrateur légitime. Cette utilisation d’un logiciel « propre » complique considérablement la tâche des systèmes de surveillance.
Une fois l’outil en place, les attaquants procèdent au montage des compartiments de stockage ciblés. L’objectif premier n’est pas toujours la destruction immédiate, mais le vol d’informations. Les pirates exfiltrent les données sensibles vers leurs propres serveurs avant de lancer la phase destructrice.
Les assaillants utilisent ensuite l’interface ou la ligne de commande pour supprimer les fichiers originaux ou les chiffrer. Ensuite, ils exigent une rançon pour leur restitution.
Les stratégies de défense recommandées par les spécialistes
Face à cette menace grandissante visant l’intégrité des environnements cloud, les entreprises doivent impérativement revoir leur politique de gestion des accès. La simple protection périmétrique ne suffit plus lorsque l’outil d’attaque est un logiciel autorisé et que les portes sont ouvertes via des identifiants valides.
Dans des domaines manipulant des données sensibles comme le salaire brut net, la sécurité doit se concentrer sur la surveillance comportementale et la restriction des privilèges. La surface d’attaque disponible sera ainsi limitée en cas de compromission d’un compte utilisateur.
Voici les principales recommandations de sécurité à mettre en œuvre :
- – Activer l’authentification multifacteur (MFA) pour tous les comptes disposant d’un accès au cloud ;
- – Utiliser des rôles IAM (Identity and Access Management) temporaires ;
- – Configurer une journalisation détaillée via des services comme CloudTrail pour détecter l’utilisation d’outils de gestion S3 à partir d’adresses IP inconnues ;
- – Restreindre les permissions des utilisateurs au strict nécessaire selon le principe du moindre privilège.
Les experts recommandent une série de mesures préventives pour contrer ce type d’intrusion spécifique. Il importe de désactiver les accès programmatiques pour les utilisateurs qui n’en ont pas l’utilité stricte et de surveiller les journaux d’activité. Cela permet de repérer des volumes de transfert inhabituels. De plus, l’hygiène des identifiants reste le premier rempart contre ces intrusions.
