Ransomware explora falhas em S3 cloud da Amazon

Pesquisadores identificaram uma nova onda de ransomware visando buckets do Amazon S3, o principal serviço de armazenamento em nuvem da AWS usado por empresas para guardar dados críticos.
Diferente do ransomware tradicional, que utiliza malware para criptografar arquivos, esses ataques aproveitam permissões fracas e configurações equivocadas, bloqueando o acesso legítimo aos dados sem precisar implantar código malicioso.

Criminosos ganham acesso indevido por meio de chaves vazadas em repositórios públicos, contas AWS comprometidas ou credenciais roubadas, procurando buckets sem proteção (ex: versionamento desativado, ausência de object lock e permissões de escrita indevidas).
Uma vez dentro, podem criptografar dados, deletar arquivos originais ou exfiltrar informações sensíveis, exigindo resgate para devolver o acesso. Essas técnicas utilizam recursos nativos da nuvem, dificultando a detecção pelos mecanismos tradicionais.

Variantes e técnicas observadas

Especialistas da Trend Micro catalogaram cinco variantes de ransomware para ambientes S3, cada uma explorando diferentes lacunas de configuração ou política de acesso.
A mais perigosa é a que utiliza criptografia do lado do servidor com chave fornecida pelo cliente (SSE-C). Nesse cenário, o atacante usa sua própria chave AES-256 no pedido de escrita; AWS aceita o conteúdo criptografado mas não armazena a chave, registrando apenas um HMAC irreversível — ou seja, os dados ficam permanentemente inacessíveis se a chave não for conhecida.

O atacante deposita instruções de resgate nos buckets afetados (“ransom-note.txt”), detalhando como proceder para supostamente recuperar os arquivos.

Riscos e impacto

Os ataques são rápidos, impossibilitando a recuperação dos dados pela própria AWS. Empresas podem sofrer perda total de informações e paralisação operacional, além de possíveis vazamentos, se não tiverem backups externos íntegros.

Recomendações de defesa

• Implemente políticas de controle para bloquear requisições PutObject com headers de algoritmo de criptografia cliente no nível do bucket ou da organização.
• Monitore CloudTrail para atividades anômalas de SSE-C e restrinja permissões IAM e de bucket ao mínimo necessário.
• Habilite versionamento e object lock nos buckets de dados sensíveis.
• Mantenha backups offline e segregados do ambiente cloud, testando periodicamente procedimentos de restauração.
• Revise periodicamente políticas de acesso e monitore repositórios públicos por vazamentos de chaves ou segredos.

A profissionalização das gangues de ransomware e a adaptação às realidades cloud reforçam a necessidade de configuração rigorosa, monitoramento contínuo e práticas sólidas de backup para evitar prejuízos irreversíveis.