Kevin Beaumont ผู้เชี่ยวชาญด้าน InfoSec ออกมาแจ้งเตือนผู้ใช้ Amazon S3 ซึ่งเป็นบริการ Cloud Storage ของ AWS เสี่ยงถูก Ransomware โจมตีเพื่อเรียกค่าไถ่เหมือนที่ MongoDB หลายหมื่น Databases ถูกโจมตีตลอดปี 2017 เนื่องจากการตั้งค่าไม่มั่นคงปลอดภัย
ในปี 2017 ที่ผ่านมานี้ เราได้เห็นข่าวข้อมูลใน Amazon S3 รั่วไหลออกสู่สาธารณะเป็นจำนวนมาก ไม่ว่าจะเป็น NSA, กองทัพสหรัฐฯ, ผู้ให้บริการการทำ Data Analytics และอื่นๆ ซึ่งส่วนใหญ่มีสาเหตุมาจากการตั้งค่าให้ Amazon S3 เป็นแบบ Publicly-readable โดยไม่รู้ตัว อย่างไรก็ตาม พบว่ามีผู้ใช้บริการบางรายเผลอตั้งค่าแย่ยิ่งกว่านั้น คือเป็น Publicly-writable ซึ่งช่วยให้ใครก็ตาม ต่อให้ไม่มีบัญชี AWS ก็สามารถเขียนหรือลบข้อมูลออกจาก Amazon S3 ได้ทันที จากการสำรวจของ Skyhigh Networks ในเดือนกันยายน 2017 พบว่ามี Amazon S3 ถึง 7% ที่ตั้งค่าแบบ Publicly-writable
ด้วยเหตุนี้ทำให้ผู้เชี่ยวชาญหลายรายเชื่อว่า กลุ่มแฮ็กเกอร์ที่อยู้เบื้องหลังจากโจมตีเพื่อเรียกค่าไถ่จาก MongoDB, ElasticSearch, Hadoop, CouchDB, Cassandra และ MySQL servers ในปี 2017 จะเริ่มหันมาพุ่งเป้าที่ Amazon S3 แบบ Publicly-writable ในปี 2018 นี้ อย่างไรก็ตาม เนื่องจาก Amazon S3 เก็บข้อมูลปริมาณมหาศาล การลบข้อมูลทิ้งทั้งหมดแล้วเรียกค่าไถ่แลกกับการนำข้อมูลกลับคืนมาจึงเป็นไปได้ยาก เนื่องจากแฮ็กเกอร์ส่วนใหญ่คงไม่มีระบบ Storage ที่ใหญ่เพียงพอสำหรับสำรองข้อมูลของเหยื่อหลายๆ ราย ส่งผลให้เป็นไปได้สูงที่เหยื่อจะจ่ายค่าไถ่ฟรีๆ
Mike Gualtieri นักวิจัยด้านความมั่นคงปลอดภัยระบุว่า ในเชิงเทคนิคแล้ว การโจมตีเพื่อเรียกค่าไถ่ Amazon S3 เป็นเรื่องที่เป็นไปได้ โดยเขาประสบความสำเร็จในการเขียนสคริปต์ POC เพื่อเข้าถึง Amazon S3 ที่เปิดให้เขียนข้อมูลลงไปได้ โดยสคริปต์จะทำการลิสต์ไฟล์ทั้งหมดใน S3, ดาวน์โหลดไฟล์มาทำแฮชด้วย MD5, จากนั้นลบไฟล์ทิ้ง แล้วอัปโหลดไฟล์แฮชกลับขึ้นไปพร้อมต่อท้ายด้วย .enc เพื่อหลอกผู้ใช้บริการว่าข้อมูลถูกเข้ารหัสเรียบร้อย
นอกจากนี้ยังพบว่ามีนักวิจัยด้านความมั่นคงปลอดภัยบางราย เช่น Robbie Wiggins ได้ทำการสแกน Amazon S3 ที่ตั้งค่าเป็น Publicly-writable พบว่ามีจำนวนมากถึง 5,260 เครื่อง ซึ่ง 50 เครื่องดำเนินการโดย BBC โดยเขาได้ทำการแนบไฟล์ลงไปใน Amazon S3 ที่ค้นพบด้วยข้อความแจ้งเตือนว่า “Anyone can write to this bucket. Please fix this before a bad guy finds it.”
5260… S3 buckets sorry that have my POC.txt file in.
— Random Robbie (@Random_Robbie) February 20, 2018
ที่สำคัญคือ Amazon S3 บางส่วนมีการเก็บข้อมูลสำคัญหรือความลับที่พร้อมถูกเรียกค่าไถ่อีกด้วย ไม่ว่าจะเป็นข้อมูลทางการแพทย์ ข้อมูลด้านการทหาร ข้อมูลทรัพย์สินทางปัญญา ข้อมูลสำรอง ไฟล์ Bitcoin Wallet และอื่นๆ ส่งผลให้ต่อให้ Amazon S3 ไม่ได้เป็นแบบ Publicly-writable การที่แฮ็กเกอร์สามารถเข้าถึงข้อมูลเหล่านี้ได้อาจนำไปสู่การ Blackmail เพื่อเรียกค่าไถ่ โดยเฉพาะอย่างยิ่งการมาถึงของ GDPR ในเดือนพฤษภาคมนี้อาจทำให้เหยื่อยอมจ่ายค่าไถ่แทนที่จะเสียค่าปรับหลายสิบล้านยูโร
อย่างไรก็ตาม ทางด้าน AWS เองก็ได้ออกมาแจ้งเตือนผู้ใช้บริการเกี่ยวกับการตั้งค่า Amazon S3 ให้มั่นคงปลอดภัย พร้อมเปิดให้ใช้ AWS Trusted Advisor S3 Bucket Permissions Check Tool พรี สำหรับตรวจสอบว่า Amazon S3 ที่รันอยู่นั้นมีการตั้งค่า Permission อย่างเหมาะสมหรือไม่ หรือจะใช้ S3 Inspector ซึ่งเป็นสคริปต์ Python จาก Kromtech ในการตรวจเช็คก็ได้