Cybersicherheitsexperten von Halcyon haben eine besorgniserregende neue Ransomware-Taktik aufgedeckt, bei der Angreifer die legitime AWS-Verschlüsselungsfunktion Server-Side Encryption with Customer Provided Keys (SSE-C) zweckentfremden. Diese innovative Angriffsmethode ermöglicht es Cyberkriminellen, Unternehmensdaten in Amazon S3-Buckets zu verschlüsseln, ohne dabei klassische Ransomware-Software einsetzen zu müssen.
Technische Details der Angriffsmethode
Die als „Codefinger“ bekannte Hackergruppe nutzt kompromittierte AWS-Zugangsdaten, um sich Zugriff auf Unternehmens-S3-Buckets zu verschaffen. Nach erfolgreicher Infiltration identifizieren die Angreifer API-Schlüssel mit s3:GetObject- und s3:PutObject-Berechtigungen. Mit diesen Rechten aktivieren sie die SSE-C-Verschlüsselung und verschlüsseln sämtliche zugängliche Daten mit einem eigenen AES-256-Schlüssel.
Besonderheiten der SSE-C-Technologie im Angriffskontext
Die Effektivität dieser Angriffsmethode basiert auf den spezifischen Eigenschaften der SSE-C-Verschlüsselung. Da AWS die Kundenschlüssel nicht speichert, ist eine Datenwiederherstellung ohne den original Verschlüsselungsschlüssel technisch unmöglich – selbst für Amazon selbst. Diese Eigenschaft, die ursprünglich als Sicherheitsfeature gedacht war, wird von den Angreifern geschickt ausgenutzt.
Erpressungsstrategie und Zeitdruck-Taktik
Nach der Verschlüsselung implementieren die Angreifer einen automatischen Löschmechanismus über das S3 Object Lifecycle Management API, der die verschlüsselten Daten nach sieben Tagen unwiderruflich löscht. Diese Zeitdrucktaktik soll Unternehmen zu schnellen Lösegeldzahlungen in Bitcoin bewegen. Die Erpresser warnen explizit vor Manipulationsversuchen an den verschlüsselten Dateien, da dies zum vollständigen Datenverlust führen könnte.
Präventive Sicherheitsmaßnahmen
Zur Prävention derartiger Angriffe empfehlen Sicherheitsexperten folgende Maßnahmen:
– Implementierung strikter SSE-C-Nutzungsrichtlinien
– Regelmäßige Rotation von AWS-Zugangsdaten
– Kontinuierliches Monitoring der Cloud-Infrastruktur
– Konsequente Anwendung des Principle of Least Privilege
Amazon Web Services hat bereits auf diese neue Bedrohung reagiert und verstärkt die Kundenbenachrichtigungen bei verdächtigen Aktivitäten. Unternehmen wird dringend empfohlen, ihre AWS-Sicherheitskonfigurationen zu überprüfen und gegebenenfalls anzupassen. Die Implementierung mehrschichtiger Sicherheitsmaßnahmen und regelmäßige Sicherheitsaudits sind essentiell, um das Risiko solcher ausgefeilter Cyberangriffe zu minimieren.
