Pelaku ransomware semakin sering menyalahgunakan fitur bawaan cloud untuk menargetkan data penting. Kampanye ancaman terbaru, seperti yang dijelaskan dalam blog Halcyon, mengungkap bahwa aktor ancaman telah menyalahgunakan fitur Server-Side Encryption dengan Customer-Provided Keys (SSE-C) di Amazon Web Services (AWS). Dengan mengenkripsi objek S3 menggunakan kunci mereka sendiri, penyerang membuat data tidak dapat diakses, memanfaatkan layanan AWS dengan kredensial curian untuk menyederhanakan serangan mereka tanpa perlu mengelola infrastruktur tambahan.
Blog ini membahas bagaimana serangan ini terjadi, mengapa SSE-C menjadi alat yang menarik bagi kampanye ransomware, serta strategi mitigasi yang dapat diterapkan. Selain pedoman resmi AWS untuk melindungi diri dari ancaman ini, rekomendasi utama mencakup pembatasan penggunaan SSE-C, penerapan prinsip akses minimum (least privilege), dan mengaktifkan pencatatan lanjutan guna mendeteksi aktivitas mencurigakan. Organisasi harus secara proaktif mengamankan lingkungan AWS mereka untuk mengantisipasi ancaman ini.
Server-Side Encryption dengan Customer-Provided Keys (SSE-C)
AWS Server-Side Encryption dengan Customer-Provided Keys (SSE-C) memungkinkan pelanggan mengontrol kunci enkripsi saat menyimpan objek di Amazon S3. Fitur ini memastikan bahwa data dienkripsi di sisi server sambil memberikan kebebasan kepada pelanggan untuk menyediakan dan mengelola kunci mereka sendiri, tanpa bergantung pada AWS untuk menghasilkan atau mengelolanya. Sebagai alternatif, AWS juga menghasilkan dan mengelola Data Encryption Key (DEK) terpisah untuk mengenkripsi data selama penyimpanan, sementara kunci yang disediakan pelanggan tetap bersifat rahasia.
Cara Kerja SSE-C
- Pelanggan Menyediakan Kunci: Saat mengunggah objek ke S3, pelanggan menyertakan kunci enkripsi dalam permintaan.
- AWS Mengenkripsi Objek: AWS menggunakan kunci yang diberikan sebagai Key Encryption Key (KEK) untuk mengenkripsi Data Encryption Key (DEK). DEK kemudian digunakan untuk mengenkripsi objek dengan algoritma AES-256 sebelum disimpan.
- Manajemen Kunci oleh Pelanggan: AWS tidak menyimpan kunci enkripsi pelanggan. AWS hanya menyimpan hash kriptografi (HMAC) dari kunci untuk validasi di operasi berikutnya.
- Dekripsi Saat Pengambilan: Untuk mengakses objek yang dienkripsi dengan SSE-C, pelanggan harus menyediakan kunci yang sama yang digunakan saat pengunggahan. AWS memvalidasi kunci tersebut dan mendekripsi objek sebelum mengembalikannya.
Fitur Utama SSE-C
✅ Kunci Dikontrol Pelanggan – Pelanggan memiliki kendali penuh atas kunci enkripsi mereka.
✅ Tanpa Penyimpanan Kunci di AWS – AWS tidak menyimpan kunci enkripsi pelanggan, mengurangi risiko kebocoran dari sisi AWS.
✅ Enkripsi Saat Transit & Penyimpanan – Objek dienkripsi sebelum disimpan, dan kunci dienkripsi ditransmisikan melalui HTTPS.
✅ Validasi Kunci dengan HMAC – AWS hanya menyimpan hash kriptografi dari kunci untuk validasi, memastikan bahwa hanya pelanggan yang memiliki akses ke data terenkripsi.
Ketika Enkripsi Digunakan untuk Serangan | Penyalahgunaan SSE-C
Enkripsi umumnya dianggap sebagai fondasi keamanan data. Namun, di tangan yang salah, bahkan mekanisme enkripsi yang kuat dapat disalahgunakan oleh pelaku ancaman. Tren terbaru dalam serangan ransomware menunjukkan bagaimana penyerang menyalahgunakan fitur AWS SSE-C untuk mengenkripsi data organisasi yang tersimpan di Amazon S3 buckets.
Penyalahgunaan SSE-C dalam Serangan Ransomware
Dalam serangan ransomware tradisional, pelaku mengenkripsi data lokal dan meminta tebusan untuk kunci dekripsi. Dengan meningkatnya penggunaan penyimpanan cloud, penyerang menyesuaikan taktik mereka dengan menyalahgunakan fitur bawaan cloud seperti SSE-C.
- Kompromi Kredensial
Penyerang memperoleh akses ke kredensial AWS melalui:
🔹 Phishing terhadap karyawan
🔹 Credential stuffing dengan kombinasi kata sandi bocor
🔹 Repositori publik yang tidak sengaja mengekspos kunci akses AWS
🔹 Pencurian kredensial melalui malware infostealer dan log cloud
- Penyalahgunaan SSE-C
Setelah masuk, penyerang menggunakan kredensial yang dikompromikan untuk:
✅ Mengakses bucket S3 milik korban
✅ Mengunggah kunci enkripsi mereka sendiri, sehingga mengubah enkripsi data tanpa izin korban
✅ Memodifikasi kebijakan siklus hidup untuk menghapus file setelah beberapa hari, menciptakan rasa urgensi bagi korban
Karena AWS tidak menyimpan kunci enkripsi pelanggan dalam SSE-C, pemulihan menjadi mustahil tanpa kerja sama penyerang.
- Permintaan Tebusan
Langkah terakhir adalah meninggalkan catatan tebusan di direktori yang terkena dampak, dengan instruksi pembayaran dan ancaman: bayar atau kehilangan data selamanya.
Mengapa SSE-C Menjadi Target Menarik?
🔹 Kunci Dikontrol Pelanggan → AWS tidak menyimpan kunci enkripsi, sehingga pemulihan data mustahil tanpa kunci dari penyerang.
🔹 Izin Minimal yang Diperlukan → Hanya dengan s3:GetObject dan s3:PutObject, penyerang dapat mengganti data asli dengan versi terenkripsi mereka.
🔹 Kurangnya Deteksi Penyalahgunaan → AWS CloudTrail mencatat aktivitas enkripsi/dekripsi, tetapi tidak secara otomatis menandai penggunaan SSE-C sebagai aktivitas mencurigakan.
Mitigasi Risiko Ransomware di AWS
💡 Aktifkan Bucket Versioning & MFA Delete
✅ Bucket Versioning: Menyimpan versi lama dari file yang dapat dipulihkan jika terjadi serangan.
✅ MFA Delete: Mencegah penghapusan objek tanpa autentikasi multi-faktor (MFA).
💡 Batasi Penggunaan SSE-C
Terapkan kebijakan Identity and Access Management (IAM) dan bucket policy yang membatasi penggunaan SSE-C hanya untuk alur kerja yang benar-benar diperlukan.
🔹 Contoh Kebijakan untuk Mencegah Penyalahgunaan SSE-C:
{
“Version”: “2012-10-17”,
“Statement”: [
{
“Effect”: “Deny”,
“Principal”: “*”,
“Action”: “s3:PutObject”,
“Resource”: “arn:aws:s3:::your-bucket-name/*”,
“Condition”: {
“StringExists”: {
“s3:x-amz-server-side-encryption-customer-key”: “true”
}
}
}
]
}
Bagaimana SentinelOne Melindungi dari Ransomware Cloud?
🛡 SentinelOne Singularity™ Platform
✅ Storyline Active Response (STAR): Sistem deteksi dan respons berbasis cloud untuk memantau aktivitas mencurigakan.
✅ Cloud Native Security (CNS): Solusi keamanan tanpa agen untuk mendeteksi konfigurasi bucket yang rentan.
✅ Deteksi & Respons Otomatis: Mengidentifikasi upaya enkripsi SSE-C yang mencurigakan.
Kesimpulan:
Fitur cloud-native seperti SSE-C membawa manfaat, tetapi juga membuka peluang bagi aktor ancaman untuk menyalahgunakannya. SentinelOne menyediakan perlindungan berlapis terhadap serangan ransomware berbasis AWS, dengan memadukan manajemen postur keamanan proaktif, deteksi real-time, dan respons otomatis untuk memastikan keamanan beban kerja cloud Anda.
🔹 Hubungi SentinelOne Indonesia untuk informasi lebih lanjut tentang solusi keamanan cloud SentinelOne.
- Kompromi Kredensial
Penyerang memperoleh akses ke kredensial AWS melalui:
🔹 Phishing terhadap karyawan
🔹 Credential stuffing dengan kombinasi kata sandi bocor
🔹 Repositori publik yang tidak sengaja mengekspos kunci akses AWS
🔹 Pencurian kredensial melalui malware infostealer dan log cloud
- Penyalahgunaan SSE-C
Setelah masuk, penyerang menggunakan kredensial yang dikompromikan untuk:
✅ Mengakses bucket S3 milik korban
✅ Mengunggah kunci enkripsi mereka sendiri, sehingga mengubah enkripsi data tanpa izin korban
✅ Memodifikasi kebijakan siklus hidup untuk menghapus file setelah beberapa hari, menciptakan rasa urgensi bagi korban
Karena AWS tidak menyimpan kunci enkripsi pelanggan dalam SSE-C, pemulihan menjadi mustahil tanpa kerja sama penyerang.
- Permintaan Tebusan
Langkah terakhir adalah meninggalkan catatan tebusan di direktori yang terkena dampak, dengan instruksi pembayaran dan ancaman: bayar atau kehilangan data selamanya.
Mengapa SSE-C Menjadi Target Menarik?
🔹 Kunci Dikontrol Pelanggan → AWS tidak menyimpan kunci enkripsi, sehingga pemulihan data mustahil tanpa kunci dari penyerang.
🔹 Izin Minimal yang Diperlukan → Hanya dengan s3:GetObject dan s3:PutObject, penyerang dapat mengganti data asli dengan versi terenkripsi mereka.
🔹 Kurangnya Deteksi Penyalahgunaan → AWS CloudTrail mencatat aktivitas enkripsi/dekripsi, tetapi tidak secara otomatis menandai penggunaan SSE-C sebagai aktivitas mencurigakan.
Mitigasi Risiko Ransomware di AWS
💡 Aktifkan Bucket Versioning & MFA Delete
✅ Bucket Versioning: Menyimpan versi lama dari file yang dapat dipulihkan jika terjadi serangan.
✅ MFA Delete: Mencegah penghapusan objek tanpa autentikasi multi-faktor (MFA).
💡 Batasi Penggunaan SSE-C
Terapkan kebijakan Identity and Access Management (IAM) dan bucket policy yang membatasi penggunaan SSE-C hanya untuk alur kerja yang benar-benar diperlukan.
🔹 Contoh Kebijakan untuk Mencegah Penyalahgunaan SSE-C:
{
“Version”: “2012-10-17”,
“Statement”: [
{
“Effect”: “Deny”,
“Principal”: “*”,
“Action”: “s3:PutObject”,
“Resource”: “arn:aws:s3:::your-bucket-name/*”,
“Condition”: {
“StringExists”: {
“s3:x-amz-server-side-encryption-customer-key”: “true”
}
}
}
]
}
Bagaimana SentinelOne Melindungi dari Ransomware Cloud?
🛡 SentinelOne Singularity™ Platform
✅ Storyline Active Response (STAR): Sistem deteksi dan respons berbasis cloud untuk memantau aktivitas mencurigakan.
✅ Cloud Native Security (CNS): Solusi keamanan tanpa agen untuk mendeteksi konfigurasi bucket yang rentan.
✅ Deteksi & Respons Otomatis: Mengidentifikasi upaya enkripsi SSE-C yang mencurigakan.
Kesimpulan:
Fitur cloud-native seperti SSE-C membawa manfaat, tetapi juga membuka peluang bagi aktor ancaman untuk menyalahgunakannya. SentinelOne menyediakan perlindungan berlapis terhadap serangan ransomware berbasis AWS, dengan memadukan manajemen postur keamanan proaktif, deteksi real-time, dan respons otomatis untuk memastikan keamanan beban kerja cloud Anda.
🔹 Hubungi SentinelOne untuk informasi lebih lanjut tentang solusi keamanan cloud SentinelOne.
