Profi MI-eszközökkel támadnak
A támadók a nyílt forráskódú TruffleHog segédprogrammal vadásznak AWS-felhasználói adatokra. Amint sikerül bejutniuk, új IAM-fiókokat és hozzáféréseket hoznak létre API-n keresztül, valamint adminisztrátori jogosultságokat rendelnek magukhoz, így teljes irányítást szereznek a felhő felett. Ezután lekérdezik a felhasználók, szerverek, tárhelyek, adatbázis-klaszterek és alkalmazások listáját, majd megszerzik és exportálják – például az S3-ra – a legértékesebb adatokat.
Adatlopás, majd zsarolás
A Crimson Collective az adatlopás után RDS-adatbázis-jelszavakat módosít, vagy pillanatfelvételeket készít az EBS-ről, majd ezeket S3-tárhelyre exportálja API-n keresztül. Miután végeztek, a csoport zsarolólevelet küld az áldozatoknak az Amazon SES segítségével, sőt, gyakran külső e-mail címekre is. Több IP-címről dolgoznak, de néha ugyanazokat is használják, ami segítheti a nyomozókat a nyomok felderítésében.
Így védd magad
Az AWS szerint érdemes csak rövid távú jogosultságokat és korlátozottan használt IAM-fiókokat alkalmazni. Ha felmerül a gyanú, hogy valaki illetéktelenül hozzáférhetett a fiókhoz, az AWS tájékoztatása szerint azonnal lépéseket kell tenni. Korábban egy másik hackercsoport, a Codefinger S3-tárhelyeket titkosított, a Crimson Collective viszont csak adatot lop, de az eljárásuk veszélyesebb, mert láthatatlanabb. A szakértők javasolják a rendszeres, MI-alapú szkennelést olyan eszközökkel, mint például az AWSLeaks.
A Crimson Collective mérete és összetétele továbbra is ismeretlen, de módszereik és zsarolási praktikáik egyre komolyabb fenyegetést jelentenek.
