gguy Shutterstock.comForscher des Sicherheitsanbieters Halcyon haben kürzlich entdeckt, dass Cyberkriminelle den Speicherdienst S3 von Amazon Web Services (AWS) verschlüsseln und Lösegeld für die Entschlüsselung der Daten fordern. Laut Forschungsbericht erfolgte der Angriff über die hauseigene Verschlüsselungstechnik von AWS, bekannt unter der Bezeichnung Server-Side Encryption with Customer Provided Keys (SSE-C).Demnach nutzten die Angreifer jedoch keine AWS-Sicherheitslücke aus, stattdessen kamen kompromittierte AWS-Zugangsdaten zum Einsatz. Den Sicherheitsforschern zufolge ist eine Datenwiederherstellung ohne den Schlüssel des Angreifers unmöglich, da AWS die Verschlüsselungsschlüssel nicht speichert. ‘Um Druck auf die Opfer auszuüben, wurden die Dateien zur Löschung innerhalb von sieben Tagen markiert”, heißt es im Bericht. Zudem hätte die Lösegeldforderung nicht nur die Zahlungsdetails enthalten, sondern auch Warnungen vor der Änderung der Kontoberechtigungen.Hinter der Ransomware-Kampagne soll ein Bedrohungsakteur namens Codefinger stecken. Die Security-Experten warnen jedoch davor, dass sich der Angriff weiter ausbreiten und von weiteren Akteuren übernommen werden könnte.
Schutzmaßnahmen
Um sich vor solchen Angriffen zu schützen empfiehlt Halcyon Unternehmen, ihre AWS-Umgebungen mit folgenden Maßnahmen proaktiv zu härten:SSE-C-Nutzung einschränken:
- Verwenden Sie das Bedingungselement in IAM-Richtlinien, um die Anwendung von SSE-C auf S3-Buckets zu verhindern. Richtlinien können so konfiguriert werden, dass diese Funktion auf autorisierte Daten und Benutzer beschränkt wird.AWS-Schlüssel überwachen und prüfen:
- Überprüfen Sie regelmäßig die Berechtigungen für alle AWS-Schlüssel, um sicherzustellen, dass sie über den erforderlichen Mindestzugriff verfügen.Deaktivieren Sie nicht verwendete Schlüssel und wechseln Sie aktive Schlüssel häufig aus.Implementieren Sie die erweiterte Protokollierung:
- Aktivieren Sie die detaillierte Protokollierung für S3-Vorgänge, um ungewöhnliche Aktivitäten wie Massenverschlüsselung oder Änderungen der Lebenszyklusrichtlinie zu erkennen.Halcyon hat seine Angriffsanalyse bereits an Amazon weitergeleitet. Das Unternehmen reagierte daraufhin aber lediglich mit der Empfehlung an alle Nutzer, strikte Sicherheitsmaßnahmen zu befolgen und potenziell unautorisierte Aktivitäten umgehend zu melden.
First seen on csoonline.com
Jump to article: www.csoonline.com/article/3803194/perfide-ransomware-attacke-gegen-aws-nutzer.html
