Um ataque cibernético recente, conhecido como Codefinger, está mirando usuários do Amazon Web Services (AWS), especificamente aqueles que utilizam os S3 buckets para armazenamento de dados críticos. Esse novo ataque foi confirmado em um relatório de inteligência de ameaças publicado em 13 de janeiro de 2025 pela equipe de pesquisa da Halcyon. O ransomware aproveita a criptografia do lado do servidor com chaves fornecidas pelo cliente (SSE-C) para bloquear dados e exigir pagamento pelas chaves AES-256 necessárias para a descriptografia.

Os pesquisadores da Halcyon alertaram que o design da infraestrutura SSE-C torna o ataque particularmente perigoso, pois a recuperação dos dados só é possível com as chaves controladas pelos atacantes. Isso eleva o nível de ameaça para organizações que dependem do AWS S3 para armazenamento de dados críticos. Embora a incapacidade de recuperar dados sem o pagamento seja um princípio comum de qualquer ransomware, a utilização do SSE-C marca uma abordagem inovadora ao integrar-se diretamente à infraestrutura de criptografia segura da AWS. Diferente de ransomware tradicional que criptografa arquivos localmente ou durante o tráfego de rede, o Codefinger utiliza a infraestrutura de criptografia do AWS para bloquear os dados.

Segundo os pesquisadores, uma vez criptografados, os dados só podem ser recuperados com a chave dos atacantes, o que torna impossível a recuperação sem o pagamento. O método de ataque baseia-se na obtenção de credenciais de clientes da AWS, seja por meio de engenharia social, senhas fracas ou reutilização de credenciais. Esse ataque exemplifica como a reutilização de senhas ou a escolha de senhas fáceis pode prejudicar os administradores. Se os usuários tivessem garantido o uso de senhas diferentes para cada sistema e ativado a autenticação de dois fatores, esse ataque poderia ter sido evitado.