Mit geleakten AWS-Kontodaten So clever verschlüsselt Codefinger AWS-Speicher

Anbieter zum Thema

Kaspersky Labs GmbH

netfiles GmbH

Cloudgermany.de GmbH

Indem sie einen neuen Weg der bekannten SSE-C-Verschlüsselung nutzen, können Cyberkriminelle AWS S3-Buckets so verschlüsseln, dass die Daten ohne Schlüssel nicht wiederhergestellt werde können. Hinter den Angriffen steckt die neue Ransomware Codefinger.

Eine derzeit aktive Ransomware-Kampagne nutzt öffentlich zugängliche AWS-Kontoinformationen, um den Objektspeicherdienst S3-Buckets anzugreifen. In den ersten beiden Januarwochen diesen Jahres, fanden die Analysten von Kaspersky im Darknet über hundert einzigartige, kompromittierte Kontoinformationen für die Amazon-Web-Services-Plattform. Die kompromittierten Account-Informationen bieten Cyberkriminellen auf unterschiedliche Weisen Zugang zu AWS. Es käme dabei jeweils darauf an, mit welcher URL die Konten verknüpft sind.

• Über 180.000 Konten, die mit „console.aws.amazon.com“ verknüpft sind, enthalten Systemzugriffsschlüssel.

• Über 126.000 Accounts, die mit „portal.aws.amazon.com“ verbunden sind.

• Über 245.000 Konten, die mit „signin.aws.amazon.com“ verknüpft sind.

Somit sind über eine halbe Million AWS-Konten gefährdet. Aber nicht durch die Ausnutzung einer Schwachstelle, sondern durch geleakte Anmeldeinformationen.

„Kompromittierungen wie die der aktuellen Codefinger-Kampagne resultieren oft aus der Aktivität von Data-Stealern – Schadsoftware, die darauf ausgelegt ist, sensible Informationen zu sammeln“, erläutert Alexander Zabrovsky, Sicherheitsexperte bei Kaspersky Digital Footprint Intelligence. „In den oben beschriebenen Statistiken waren Lumma und Redline die am häufigsten verwendeten Stealer.“

Toms Wochentipp: Google-Browser wird sicherer

Chrome warnt dominant vor gefährlichen Downloads

Neue Art der SSE-C-Verschlüsselung

Entdeckt haben die Ransomware-Kampagne die Cyberanalysten von Halcyon, einem Anbieter einer Anti-Ransomware-Plattform. Sie beschreiben, wie „Codefinger“ serverseitige Verschlüsselung einsetzen, um Daten in Amazon S3-Buckets zu verschlüsseln. Die Hackergruppe hinter Codefinger verlange nach der Verschlüsselung Lösegelder im Tausch gegen die symmetrischen AES-256-Schlüssel, mit denen die Daten entschlüsselt werden können. Laut Halcyon gibt es keine bekannte Methode, die Daten ohne diesen Schlüssel wiederherzustellen, was eine bedeutende Weiterentwicklung von Ransomware-Fähigkeiten beweise.

Die Taktik, mit der die Akteure Daten verschlüsseln nennt sich Server-Side Encryption with Customer-Provided Keys, kurz SSE-C. Den Analysten zufolge ist diese Methode bereits seit 2014 bekannt. Doch Codefinger scheint SSE-C auf eine neue Weise zu nutzen. Dabei würden die Cyberkriminellen wie folgt vorgehen:

• 1. Mithilfe öffentlich zugänglicher oder kompromittierter AWS-Schlüssel würden die Bedrohungsakteure Schlüssel finden, die Berechtigungen zum Ausführen von s3:GetObject- und s3:PutObject-Anfragen enthalten.

• 2. Die Akteure verschlüsseln Halcyvon zufolge Dateien, indem sie den Header x-amz-server-side-encryption-customer-algorithm aufrufen und dabei einen AES-256-Verschlüsselungsschlüssel verwenden, den sie lokal generieren und speichern. AWS verarbeite diesen Schlüssel während des Verschlüsselungsvorgangs, speichere ihn allerdings nicht. Stattdessen würde nur ein hash-basierter Nachrichtenauthentifizierungscode (HMAC) in AWS CloudTrail protokolliert. Dieser HMAC reiche jedoch nicht aus, um den Schlüssel zu rekonstruieren oder die Daten zu entschlüsseln.

• 3. Um ihre Opfer unter Zeitdruck zu setzen und sie somit zur Bezahlung des Lösegeldes zu nötigen, würden die verschlüsselten Dateien innerhalb von sieben Tagen zum Löschen markiert.

• 4. In jedem betroffenen Verzeichnis sei eine Lösegeldforderung hinterlegt, die die Bitcoin-Adresse der Kriminellen sowie eine Client-ID enthalte, die mit den verschlüsselten Daten verknüpft sei. In der Ransome-Note stehe zudem die Warnung, dass eine Änderung an den Kontoberechtigungen oder den Dateien die Verhandlungen beende.

Anders als bei herkömmlicher Ransomware ist der Verlust der Daten bei dieser neuen Art der SSE-C-Verschlüsselung Halcyon zufolge dauerhaft. Denn die Verschlüsselung integriere sich direkt in die sicherer Verschlüsselungsinfrastruktur von AWS, während klassische Ransomware Dateien lokal oder während der Übertragung verschlüssele. Das bedeutet, dass diese Art von Cyberangriff nicht auf externe Tools oder Software angewiesen ist, um Daten zu verschlüsseln, sondern die bereits vorhandenen Verschlüsselungsfunktionen der Kundenschlüssel von AWS verwendet.

Gegenüber Forbes äußerte sich Amazon Web Services wie folgt zu den geleakten Anmeldeinformationen: „AWS hilft Kunden, ihre Cloud-Ressourcen durch ein Modell der geteilten Verantwortung zu sichern. Immer wenn AWS Kenntnis von offengelegten Schlüsseln erhält, benachrichtigen wir die betroffenen Kunden. Wir untersuchen auch alle Berichte über offengelegte Schlüssel gründlich und ergreifen schnell alle erforderlichen Maßnahmen, wie zum Beispiel die Anwendung von Quarantänerichtlinien, um die Risiken für Kunden zu minimieren, ohne ihre IT-Umgebung zu stören. Wir ermutigen alle Kunden, Best Practices in Bezug auf Sicherheit, Identität und Compliance zu befolgen. Wie immer können sich Kunden bei Fragen oder Bedenken zur Sicherheit ihres Kontos an den AWS-Support wenden.“

Die Lage der IT-Sicherheit 2024

BSI sieht Bedrohungslage als „besorgniserregend“

Schutz vor Verschlüsselung

Halcyon empfiehlt AWS-Kunden, die Nutzung von SSE-C über die Richtlinien einzuschränken, um ihre AWS-Umgebung zu härten. Außerdem sollten Unternehmen ihre AWS-Schlüssel regelmäßig überprüfen, um sicherzustellen, dass sie nur die maximal benötigten Rechte eingestellt haben. Nicht verwendete Schlüssel sollten gelöscht und aktive Schlüssel regelmäßig geändert werden.

Auch Kaspersky gibt Tipps, wie Unternehmen und auch Privatkunden ihre Konten und Daten schützen können:

• Nutzer sollten beim Herunterladen von Dateien aus nicht vertrauenswürdigen oder unbekannten Quellen vorsichtig sein.

• Stellen Sie sicher, dass alle Geräte mit leistungsfähigen und aktuellen Sicherheitslösungen geschützt sind.

• Verwenden Sie für jeden Dienst separate Anmeldeinformationen.

• Aktivieren Sie die Multifaktor-Authentifizierung.

Darüber hinaus können Unternehmen wie auch Privatpersonen das Dark Web nach gefährdeten Zugangsdaten absuchen und diese sofort ändern. Bekannte Anbieter für solche Suchen sind haveibeenpwned.com, Leakcheck oder der Identity Theft Checker von F-Secure.

Schutzmechanismen gegen Datenlecks und Angriffe

Datensicherheit in der Cloud – Verschlüsselung, Zugriffskontrolle und Compliance

(ID:50291499)