Cet article est un rapport technique spécialisé publié par Trend Micro Research, intitulé “Breaking Down S3 Ransomware: Variants, Attack Paths and Trend Vision One™ Defenses”. Il s’agit d’une analyse détaillée des différentes variantes de ransomwares exploitant Amazon S3, de leurs techniques d’attaque, ainsi que des capacités de détection fournies par Trend Vision One. Dans les infrastructures traditionnelles, les attaquants s’appuyaient surtout sur des intrusions réseau, le phishing, des pièces jointes malveillantes et l’exploitation de logiciels obsolètes ou vulnérables.

Avec la migration vers le cloud, les tactiques se transforment : les attaquants exploitent de plus en plus les mauvaises configurations de stockage des clients et des identifiants volés. Plutôt que de recourir systématiquement à des malwares de chiffrement, ces variantes axées cloud abusent de fonctionnalités natives pour supprimer/écraser des données, suspendre l’accès ou extraire du contenu sensible ☁️.

Un point clé est la discrétion : en s’appuyant sur des mécanismes internes au cloud, ces opérations restent souvent sous le radar des outils de sécurité traditionnels.

🛑 S3 Ransomware — Résumé Structuré

1. Contexte général

Le ransomware se déplace désormais vers le cloud, ciblant directement Amazon S3 via les API AWS. Les attaquants exploitent des configurations faibles pour :

  • chiffrer les objets S3,
  • supprimer snapshots et backups,
  • exfiltrer des buckets entiers,
  • rendre les données irrécupérables et exiger une rançon.

2. Variantes identifiées

🔹 Variante 1 — Chiffrement via SSE-KMS (clé appartenant à l’attaquant)

  • L’attaquant génère une clé KMS dans son propre compte.
  • Chiffrement des objets S3 de la victime.
  • Suppression programmée de la clé dans 7 jours → données perdues.

🔹 Variante 2 — Chiffrement via SSE-C (clé fournie par l’attaquant)

  • AWS ne stocke jamais la clé → aucune récupération possible.
  • Variante la plus réaliste et la plus dangereuse.

🔹 Variante 3 — Exfiltration + suppression (ex. Bling Libra)

  • Téléchargement massif de données.
  • Suppression des objets/buckets.
  • Approche typique des ransomwares cloud-natifs.

🔹 Variante 4 — KMS avec clé importée (BYOK)

  • Import de clé externe.
  • Expiration courte → perte définitive.

🔹 Variante 5 — External Key Store (XKS)

  • Proxy XKS malveillant (Docker/ngrok).
  • AWS chiffre avec une clé non contrôlable par AWS.
  • Données irrécupérables.

3. Détection par Trend Vision One

Trend détecte :

  • des schémas de chiffrement anormaux (SSE-KMS, SSE-C, XKS, BYOK),
  • des suppressions massives d’objets,
  • des clés KMS créées/supprimées anormalement,
  • exfiltration importante (GetObject),
  • apparitions de ransom notes dans S3,
  • commandes IAM de privilèges élevés.

🔍 MITRE ATT&CK – TTPs Observées

⚔️ Tactiques & Techniques probables

Initial Access

  • T1078 – Valid Accounts : usage d’access keys compromises.
  • T1190 – Exploit Public-Facing Application (API exposée).

Execution

  • T1609 – Cloud Services : actions via API AWS.
  • T1059 – Command Execution via AWS CLI.

Persistence

  • T1098 – Account Manipulation : création d’access keys.
  • T1136 – Create Account : ajout d’utilisateurs IAM.

Privilege Escalation

  • T1068 – Abuse of CMK permissions.
  • T1134 – Modify IAM Roles.

Defense Evasion

  • T1562 – Disable Logging / CloudTrail.
  • T1027 – Obfuscated / Encrypted Files via KMS, SSE-C.

Credential Access

  • T1552 – Access Keys Exposure.

Discovery

  • T1087 – Enumerate IAM.
  • T1526 – Cloud Services Enumeration (S3, KMS, SSM).

Collection

  • T1530 – Data from Cloud Storage (ListObjects, GetObject).

Exfiltration

  • T1567 – Exfiltration Over Web Services (S3 → compte attaquant).

Impact

  • T1490 – Inhibit System Recovery : suppression de versions S3.
  • T1486 – Data Encryption for Impact.
  • T1485 – Data Destruction : DeleteObject / DeleteBucket.
  • T1491 – Defacement via ransom notes.

✔️ Conclusion

Les attaques S3 ransomware ne reposent pas sur des exécutables, mais sur l’abus des API AWS, des permissions IAM, et des configurations S3/KMS vulnérables.
Certaines variantes (notamment SSE-C et XKS) rendent les données irrécupérables, même pour AWS.

Type d’article: une analyse de menace décrivant l’évolution des techniques de ransomware vers le cloud et leurs mécanismes d’attaque.

🔗 Source originale : https://www.trendmicro.com/en_us/research/25/k/s3-ransomware.html

🖴 Archive : https://web.archive.org/web/20251119134521/https://www.trendmicro.com/en_us/research/25/k/s3-ransomware.html