Punto sul ransomware e S3crets Scanner per Amazon AWS S3, lo strumento open
Buon sabato e ben ritrovato caro cyber User. Prima di arrivare al sodo del contenuto di oggi, ci terrei a ricordare che questa settimana è stata particolarmente intensa sul lato ransomware, non solo a livello globale ma anche in Italia. Il monitoraggio attivo del gruppo di lavoro che mi permette di portare avanti tutti i miei contenuti cyber, ha superato le 100 vittime italiane (tra PMI e Pubbliche Amministrazioni) dall'inizio del 2022, colpite da ransomware.
Inoltre nell'ultima settimana, per i gruppi maggiormente e storicamente più prolifici, c'è stato un rilascio massivo di rivendicazioni, su operazioni condotte, arrivando anche a 23 vittime in 24 ore, per il nuovo gruppo Royal Ransomware.
Da precisare inoltre l'operazione di LockBit contro Continental, un colosso globale che opera nel settore automobili, praticamente in ogni Paese del mondo. Questa operazione sta vedendo delle novità sul modus operandi criminale, i quali per la prima volta, hanno diffuso la chat intrattenuta con l'azienda, nella fase post attacco al fine di trattare un eventuale pagamento. Ne parlo qui. Ok, ora possiamo andare al sodo di oggi.
In breve oggi ti parlo di:
Lo strumento OSINT, S3crets Scanner
S3crets Scanner, OSINT sui bucket S3 AWS di un'azienda
Oggi voglio parlarvi di uno strumento. Questa la storia cyber di oggi, che però non prevede uno storytelling, ma ho comunque reputato interessante, tra i fatti di questa settimana.
Infatti ne parlo oggi, proprio perché la prima diffusione pubblica di questo strumento (utilizzabile nella pratica, non solo le analisi le cui pubblicazioni leggermente precedenti), risale ad appena sette giorni fa.
S3crets Scanner è un nuovo strumento open source che consente ai ricercatori di cercare informazioni riservate archiviate erroneamente nei bucket di archiviazione Amazon AWS S3.
Amazon S3 (Simple Storage Service), viene utilizzato dalle aziende per archiviare dati, servizi e software in cloud. Tuttavia, molte aziende non riescono a proteggere adeguatamente i propri bucket S3 che in passato hanno causato violazioni dei dati e attacchi informatici, con impatti anche importanti in base a quanto esposto.
Dati sul rischio e pericoli legati dalle esposizioni
I protocolli di sicurezza delle organizzazioni sono regolarmente insufficienti. I segreti nei bucket S3 hanno causato migliaia di violazioni dei dati nel corso degli anni. Le informazioni sui dipendenti o sui clienti, i backup e altri tipi di dati potrebbero essere accessibili agli attori delle minacce. Informazioni che in mani sbagliate diventano utili per sferrare nuovi attacchi, mirati.
È possibile archiviare e accedere a una varietà di informazioni nei bucket S3, come chiavi di autenticazione, token di accesso e chiavi API, oltre ai dati dell'applicazione e al codice sorgente.
Se vi accedono però gli attori delle minacce, consente loro di accedere, soprattutto sfruttando abilmente le tecniche di Social Engineering, ai principali servizi o persino alla rete aziendale dell'azienda.
Scansione di S3 per i segreti di mining
Il ricercatore di sicurezza Eilon Harel si è reso conto che non erano disponibili strumenti automatizzati per scansionare le fughe accidentali di dati. Di conseguenza, decide di scriverne uno in Python chiamato S3crets Scanner. Oggi disponibile su GitHub e liberamente utilizzabile.
Esegue operazioni come la lista del contenuto del bucket tramite query API, il download dei file di testo pertinenti, il controllo dei file di testo esposti, l'inoltro dei risultati al SIEM, la scansione del contenuto alla ricerca di segreti e l'utilizzo di CSPM (Cloud security posture management) per ottenere un elenco dei bucket pubblici.
informazioni addizionali
Lo strumento scanner elencherà solo i bucket S3 con le configurazioni BlockPublicAcls, BlockPublicPolicy, IgnorePublicAcls e RestrictPublicBuckets impostate su False.
Tutti i bucket che dovevano essere pubblici vengono esclusi dall'elenco prima del download dei file di testo.
Per verificare le credenziali e le chiavi private su GitHub, GitLab, filesystem e bucket S3, lo script utilizza lo strumento Trufflehog3, una versione migliorata dello scanner dei leak su codice sorgente.
Lo strumento consente alle organizzazioni di identificare rapidamente quali dati potrebbero essere stati compromessi. S3crets Scanner è progettato per trovare bucket accessibili a terzi.
Le aziende possono fare di tutto per mantenere al sicuro le informazioni riservate quando sono minacciate. La ricerca portata avanti da S3crets Scanner può aiutare le aziende a ridurre al minimo le perdite di dati scansionando periodicamente le proprie risorse. Oltre a scansionare i bucket accessibili pubblicamente, lo strumento può inoltre notifiche ai proprietari (dell'organizzazione) i segreti esposti prima che attori malevoli li trovino.
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon fine settimana, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.