Steven LafortuneAm 13. Januar haben Forscher der Anti-Ransomware-Plattform Halycon enthüllt, dass ein Bedrohungsakteur mit dem Namen Codefinger kompromittierte AWS-Schlüssel ausnutzt und Daten in S3-Buckets verschlüsselt. Den Opfern wird dann mit der dauerhaften Löschung der Daten gedroht, wenn nicht innerhalb einer Woche ein Lösegeld gezahlt wird.
Eine beunruhigende Entwicklung
Herkömmliche Ransomware-Angriffe verschlüsseln Dateien, entweder lokal oder während der Übertragung. Was diesen Angriff jedoch von anderen unterscheidet - und besonders beunruhigend macht - ist, dass er keine Schwachstelle in AWS selbst ausnutzt. Stattdessen wird ein kompromittierter Schlüssel mit Schreibberechtigung verwendet, um Daten zu verschlüsseln. Dabei wird die in AWS integrierte Verschlüsselungsfunktion genutzt, um den Zugriff auf wichtige Informationen zu sperren.
Sobald die Daten verschlüsselt sind, können sie ohne den Schlüssel des Angreifers nicht wiederhergestellt werden. Darüber hinaus ist die Protokoll-Evidenz begrenzt, da AWS Cloud Trail nur den Hash-basierten Nachrichten-Authentifizierungs-Code (HMAC) des Verschlüsselungsschlüssels erfasst, der für eine Wiederherstellung oder forensische Analyse nicht ausreicht. Forscher von Halcyon warnen, dass diese Methode, wenn sie sich durchsetzt und weit verbreitet wird, eine enorme, systemweite Bedrohung für Unternehmen darstellen könnte, die Amazon S3 für die Speicherung wichtiger Daten nutzen.
Wie funktioniert der Angriff?
Der Angriff läuft in vier Phasen ab:
- Der Angreifer analysiert öffentlich bekannt gegebene und kompromittierte AWS-Schlüssel und identifiziert diejenigen, die über die Berechtigung zur Ausführung von s3:GetObject- und s3:PutObject-Anforderungen verfügen.
- Der Angreifer verschlüsselt die Dateien mithilfe der serverseitigen Verschlüsselung von AWS mit von Kunden bereitgestellten Schlüsseln (SSE-C).
- Die Dateien werden innerhalb von sieben Tagen über die S3S3 Object Lifecycle Management API zum Löschen markiert.
- Die Opfer finden in jedem betroffenen Verzeichnis einen Hinweis, der eine Zahlung per Bitcoin innerhalb von sieben Tagen fordert. Der Hinweis warnt auch davor, dass jede Änderung der Kontoberechtigungen oder der Dateien eine sofortige Löschung zur Folge hat.
Minderung der Bedrohung
- Gefährdeten Unternehmen wird empfohlen, sofort die folgenden Schritte zur Eindämmung der Bedrohung zu ergreifen:
- Verwenden Sie das Element „Bedingungen“ (Condition) in IAM-Richtlinien (Identity and Access Management), um die Anwendung von SSE-C auf S3-Buckets zu blockieren. Nachfolgende Konfigurationen können vorgenommen werden, um dies auf autorisierte Daten und Nutzer zu beschränken.
- Aktivieren Sie die detaillierte Protokollierung von S3-Vorgängen, um ungewöhnliche Aktivitäten zu erkennen (z. B. Massenverschlüsselungen oder Änderungen der Lebenszyklusrichtlinie).
- Verwenden Sie den AWS Security Token Service (AWS STS), um temporäre Sicherheitsanmeldeinformationen auszustellen. Dieser Dienst kontrolliert den Zugriff auf AWS-Ressourcen, ohne jedoch langfristig AWS-Sicherheitsanmeldeinformationen in einer Anwendung zu verteilen oder einzubetten.
- Überprüfen Sie regelmäßig die Berechtigungen für alle AWS-Schlüssel und vergewissern Sie sich, dass Sie über den erforderlichen Mindestzugriff verfügen.
- Deaktivieren Sie ungenutzte Schlüssel und wechseln Sie aktive Schlüssel häufig.
- Verwenden Sie den Dienst AWS Secret Manager zum Erstellen, Verwalten, Abrufen und automatischen Rotieren von Nicht-AWS-Anmeldeinformationen (z. B. Datenbank-Nutzernamen und -Passwörter) während ihres gesamten Lebenszyklus.
- Wenden Sie sich direkt an den AWS-Support, der als Reaktion auf den Codefinger-Angriff ein neues Bulletin mit dem Titel „What can I do if I notice unauthorized activity in my AWS account?“ in seiner Knowledge Base veröffentlicht hat.
Erkenntnisse und Ratschläge
Wir alle wissen, dass bösartige Akteure kopieren, was funktioniert. Daher gibt es berechtigten Grund zur Sorge, dass diese Art von Ransomware-Angriffen bald alltäglich werden könnte. Tatsächlich ist vielleicht das Überraschendste, dass es so lange gedauert hat, diese Methode auszuprobieren, denn SSE-C ist bereits seit 2014 verfügbar.
Diese Entwicklung unterstreicht, wie wichtig es für Unternehmen ist, die für die Datenspeicherung Amazon S3 nutzen, AWS-Schlüssel oder Zugriffstoken ordnungsgemäß zu sichern. Darüber hinaus bieten alle großen Cloud-Dienstanbieter ähnliche clientseitige Verschlüsselungsfunktionen an, die missbraucht werden können.
Die weitreichenden Erkenntnisse und Auswirkungen dieses Angriffs sind eine deutliche Erinnerung daran, dass niemand völlig sicher vor Ransomware-Angriffen ist. Daher ist es für Unternehmen von entscheidender Bedeutung, Maßnahmen zu ergreifen, um die Wahrscheinlichkeit einer Gefährdung zu verringern und das Risiko zu minimieren. Dieser Ansatz sollte Folgendes umfassen:
- Einschränkung des Zugriffs auf die Schlüsselverwaltung: Begrenzen Sie, wer und was auf Verschlüsselungsschlüssel zugreifen kann.
- Befolgung des Prinzips der geringsten Privilegien: Stellen Sie sicher, dass Schlüssel nur über die Mindestberechtigungen verfügen, die für ihren beabsichtigten Zweck erforderlich sind.
- Minimierung der Angriffsfläche: Überprüfen und reduzieren Sie regelmäßig den externen Zugriff auf Ihre Cloud-Ressourcen.
Ferner fordern wir allen Unternehmen - auch diejenigen, die nicht dem Codefinger-Angriff oder anderen Angriffen mit einem ähnlichen Bedrohungsvektor ausgesetzt sind - dringend dazu auf, strenge Richtlinien für die Zugriffskontrolle und Verwaltung der Berechtigungen zu implementieren und durchzusetzen. Dadurch lässt sich der durch Ransomware-Angriffe verursachte Schaden erheblich begrenzen. Unternehmen, die mehr darüber erfahren möchten, wie sie dieses wichtige Ziel erreichen können, laden wir ein, sich Devolutions PAM näher anzusehen, das Stabilität auf Unternehmensniveau in einer Lösung bietet, die für KMUs geeignet ist und Nutzerfreundlichkeit und Skalierbarkeit kombiniert. Hier erfahren Sie mehr über Devolutions PAM.