FEHLER!

Ransomware greift Amazon S3-Buckets direkt an – ein neuer Angriffstyp

Eine neue, beunruhigende Entwicklung in der Welt der Ransomware erschüttert die Cloud-Landschaft: Cyberkriminelle nutzen legitime Zugangsdaten zu Amazon Web Services (AWS), um Daten aus S3-Buckets mit Server-Side Encryption with Customer Provided Keys (SSE-C)* zu verschlüsseln und anschließend Lösegeldforderungen zu stellen. Diese Angriffe, aufgedeckt von Halcyon in einer Analyse, markieren eine signifikante Evolution der Ransomware-Strategien, da sie etablierte Sicherheitsmechanismen und legitime Zugangsrechte missbrauchen.

Im Zentrum des Angriffs steht die Verschlüsselung mit AES-256-Keys , die über SSE-C in Amazon S3-Buckets implementiert wird. Die Angreifer kompromittieren AWS-Konten, oft durch erbeutete Zugangsdaten aus dem Darknet, und verschlüsseln damit die Daten innerhalb der Buckets. Einzigartig an dieser Taktik ist, dass keine Schwachstellen in AWS selbst ausgenutzt werden, sondern legitime Credentials missbraucht werden. Dadurch entsteht eine knifflige Situation: Es existiert laut Experten derzeit keine Methode , die Daten ohne Zahlung des Lösegelds wiederherzustellen erlaubt.

Die Täter verschärfen die Lage durch zusätzliche Druckfaktoren. In ihren Erpressernotizen, die Zahlungsdetails enthalten, warnen sie davor, Zugangsberechtigungen zu ändern, und setzen eine Frist von sieben Tagen für die Löschung der Dateien. AWS CloudTrail protokolliert zwar HMACs der Verschlüsselungs-Keys, jedoch reicht dies laut Analysten nicht für eine Wiederherstellung oder forensische Analyse aus. Der Datenverlust ist somit irreversibel, ohne den vom Angreifer erstellten Schlüssel.

Kaspersky hat im Darknet umfangreiche Informationen über gestohlene AWS-Credentials aufgedeckt. Mehr als 245.000 Datenpunkte beziehen sich auf signin.aws.amazon.com, weitere große Mengen auf portal.aws.amazon.com und signin.aws.amazon.com. Diese Informationen stammen häufig von Infostealern wie Lumma und Redline, die solche Daten im großen Stil sammeln.

Diese Entwicklung zeigt deutlich, dass traditionelle Sicherheitsansätze allein nicht ausreichen, um modernen Ransomware-Bedrohungen zu begegnen. Unternehmen müssen ihre Cloud-Sicherheitsstrategien überarbeiten und verstärkt auf Multi-Faktor-Authentifizierung, regelmäßige Passwortrotation sowie robuste Endpoint-Security-Lösungen setzen, um sich effektiv gegen diese neue Generation von Angriffen zu schützen.

Schlagwörter: Amazon + AWS + SSE-C

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 16. Januar 2025