ImageFlow – shutterstock.com
Ein aktueller Bericht von Trend Micro beschreibt eine neue Welle von Angriffen, bei denen Angreifer Cloud-native Verschlüsselungs- und Schlüsselverwaltungsdienste integrieren, anstatt lediglich Daten zu stehlen oder zu löschen.
„Böswillige Aktivitäten, die auf S3 Buckets abzielen, sind nichts Neues, obwohl Unternehmen ihre Cloud-Umgebungen immer besser absichern“, kommentiert Crystal Morin, Senior Cybersecurity Strategist bei Sysdig. „Da Verteidiger stärkere Perimeterschutzmaßnahmen einsetzen, beginnen Angreifer, integrierte Funktionen wie Encryption Management und Key Rotation zu missbrauchen, um Daten zu zerstörren.“
Laut Trend Micro untersuchen Angreifer eine Reihe von S3-Konfigurationen, von Buckets mit AWS-verwalteten KMS-Schlüsseln bis hin zu vom Kunden bereitgestellten Keys, importiertem Schlüsselmaterial und sogar vollständig externen Schlüsselspeichern.
Warum S3 ein begehrtes Ransomware-Ziel ist
Bei On-Premises-Ransomware werden traditionell Malware eingeschleust, Desktops oder Server verschlüsselt und Zahlungen erpresst. Da Unternehmen jedoch wichtige Workloads und Backups in Cloud-Dienste migriert haben, verfolgen Angreifer laut Forschern nun die Daten.
Der Trend-Micro-Bericht listet mehrere wichtige Cloud-Ziele auf, darunter Compute-Snapshots, statische Speicher (S3 Buckets), Datenbanken, Container/Registries und Backup-Tresore. Unter diesen ist S3 besonders wertvoll, da es häufig Backups, Protokolle, Konfigurationsdaten und statische Assets enthält – also Dinge, die ein Unternehmen am dringendsten zurückhaben möchte.
Um erfolgreich zu sein, suchen Cyberkriminelle in der Regel nach S3 Buckets, bei denen Folgendes der Fall ist:
Versionierung deaktiviert (alte Versionen können nicht wiederhergestellt werden),
Objekt-Sperre deaktiviert (Dateien lassen sich überschreiben oder löschen),
weitreichende Schreibberechtigungen (durch falsch konfigurierte IAM-Richtlinien oder durchgesickerte Anmeldedaten), und
hochwertige Daten (Backup-Dateien, Produktionskonfigurations-Dumps).
Sobald sie sich Zugang verschafft haben, versuchen die Angreifer, eine „vollständige und irreversible Sperrung” der Daten zu erzwingen. Dazu können sie Objekte mit für das Opfer unzugänglichen Keys verschlüsseln, Backups löschen und die Löschung von Schlüsseln planen, damit AWS und der Kunde die Daten nicht wiederherstellen können.
Cloud-Verschlüsselung und Schlüsselverwaltung als Waffe
Trend Micro hat fünf S3-Ransomware-Varianten identifiziert, die zunehmend die in AWS integrierten Verschlüsselungspfade ausnutzen. Eine Variante missbraucht die standardmäßigen, von AWS verwalteten KMS-Schlüssel (SSE-KMS), indem sie Daten mit einem vom Angreifer erstellten Schlüssel verschlüsselt und diesen Schlüssel zur Löschung vormerkt. Eine andere Variante verwendet vom Kunden bereitgestellte Schlüssel (SSE-C), von denen AWS keine Kopie hat, sodass eine Wiederherstellung unmöglich ist. Die dritte Variante exfiltriert S3-Bucket-Daten (ohne Versionierung) und löscht die Originale.
Die letzten beiden Varianten dringen tiefer in die Key-Management-Infrastruktur ein[MB2] . Eine stützt sich auf importiertes Schlüsselmaterial (Bring your own key – BYOK), wodurch Angreifer Daten verschlüsseln und anschließend die importierten Schlüssel zerstören oder ungültig machen können. Die andere missbraucht den External Key Store (XKS) von AWS, bei dem Schlüsseloperationen außerhalb von AWS stattfinden. Das bedeutet, dass weder der Kunde noch AWS den Zugriff wiederherstellen können, wenn Angreifer die externe Schlüsselquelle kontrollieren. Zusammengenommen zeigen diese Techniken, dass Angreifer AWS selbst als Verschlüsselungsmechanismus nutzen.
„Ich kann mich nicht erinnern, dies jemals in der Praxis gesehen zu haben“, betont Trey Ford, Chief Strategy and Trust Officer bei Bugcrowd. „Diese Untersuchung ist eine systematische und theoretische Bedrohungsmodellierung. Sie zeigt auf, wie ein Angreifer eine AWS-Umgebung innerhalb einer Kontogrenze verschlüsseln und Lösegeld dafür verlangen könnte.“
Ford fügt hinzu: „Dies zielt speziell auf die Verwendung externer oder vom Kunden bereitgestellter Schlüssel (SSE-C bzw. XKS) ab, um die Kontrolle über die Schlüsselverwaltung für die in der Speicherung verwendete Kryptografie zu erlangen.“
Schutzmaßnahmen
Die Trend-Micro-Forscher fordern Kunden dringend auf, ihre S3-Umgebungen zu sichern, indem sie Least-Priviledge-Zugang erzwingen und Schutzmaßnahmen wie Versionierung und Object Lock aktivieren. Zudem sollten Unternehmen bereitgestellte oder externe Schlüsselquellen, die die Wiederherstellung beeinträchtigen können, streng regulieren. Außerdem wird empfohlen, Backups in separaten Konten zu isolieren und die Cloud-Audit-Protokolle kontinuierlich auf Anzeichen verdächtiger Schlüsselaktivitäten, Massenverschlüsselung oder groß angelegte Objektlöschungen zu überwachen.
„Eine ‚Assume Breach‘-Mentalität ist in der Cloud unerlässlich: Laufzeitumgebungen sollten unveränderlich sein, Identitäten müssen über streng begrenzte Berechtigungen und kurzlebige Anmeldedaten verfügen“, erklärt Morin von Sysdig. Nach Meinung des Experten benötigen Netzwerke eine sinnvolle Segmentierung und kritische Datensätze müssen gesichert werden. „Moderne Betriebsabläufe sind von komplexen Lieferketten abhängig, und eine Ransomware, die einen wichtigen Partner betrifft, kann Ihr Unternehmen genauso vollständig lahmlegen wie eine direkte Kompromittierung.“ (jm)
No Responses