{"id":5927,"date":"2025-11-24T13:54:22","date_gmt":"2025-11-24T13:54:22","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=5927"},"modified":"2025-11-24T13:54:22","modified_gmt":"2025-11-24T13:54:22","slug":"aws-s3-buckets-im-visier-von-ransomware-banden","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=5927","title":{"rendered":"AWS S3-Buckets im Visier von Ransomware-Banden"},"content":{"rendered":"<div>\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<div class=\"container\"><\/div>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">Ransomware-Banden haben ihren Fokus von traditionellen lokalen Zielen auf Cloud-Speicherdienste und insbesondere Amazon S3 verlagert.\n<p class=\"imageCredit\"> ImageFlow \u2013 shutterstock.com<\/p>\n<\/div>\n<p>Ein aktueller <a href=\"https:\/\/www.trendmicro.com\/en_us\/research\/25\/k\/s3-ransomware.html\" target=\"_blank\" rel=\"noopener\">Bericht von Trend Micro<\/a> beschreibt eine neue Welle von Angriffen, bei denen Angreifer Cloud-native Verschl\u00fcsselungs- und Schl\u00fcsselverwaltungsdienste integrieren, anstatt lediglich Daten zu stehlen oder zu l\u00f6schen.<\/p>\n<p>\u201eB\u00f6swillige Aktivit\u00e4ten, die auf S3 Buckets abzielen, sind nichts Neues, obwohl Unternehmen ihre Cloud-Umgebungen immer besser absichern\u201c, kommentiert Crystal Morin, Senior Cybersecurity Strategist bei Sysdig. \u201eDa Verteidiger st\u00e4rkere Perimeterschutzma\u00dfnahmen einsetzen, beginnen Angreifer, integrierte Funktionen wie Encryption Management und Key Rotation zu missbrauchen, um Daten zu zerst\u00f6rren.\u201c<\/p>\n<p>Laut Trend Micro untersuchen Angreifer eine Reihe von S3-Konfigurationen, von Buckets mit AWS-verwalteten KMS-Schl\u00fcsseln bis hin zu vom Kunden bereitgestellten Keys, importiertem Schl\u00fcsselmaterial und sogar vollst\u00e4ndig externen Schl\u00fcsselspeichern.<\/p>\n<h2 class=\"wp-block-heading\">Warum S3 ein begehrtes Ransomware-Ziel ist<\/h2>\n<p>Bei On-Premises-Ransomware werden traditionell Malware eingeschleust, Desktops oder Server verschl\u00fcsselt und Zahlungen erpresst. Da Unternehmen jedoch wichtige Workloads und Backups in Cloud-Dienste migriert haben, verfolgen Angreifer laut Forschern nun die Daten.<\/p>\n<p>Der Trend-Micro-Bericht listet mehrere wichtige Cloud-Ziele auf, darunter Compute-Snapshots, statische Speicher (S3 Buckets), Datenbanken, Container\/Registries und Backup-Tresore. Unter diesen ist S3 besonders wertvoll, da es h\u00e4ufig Backups, Protokolle, Konfigurationsdaten und statische Assets enth\u00e4lt \u2013 also Dinge, die ein Unternehmen am dringendsten zur\u00fcckhaben m\u00f6chte.<\/p>\n<p>Um erfolgreich zu sein, suchen Cyberkriminelle in der Regel nach S3 Buckets, bei denen Folgendes der Fall ist:<\/p>\n<p>Versionierung deaktiviert (alte Versionen k\u00f6nnen nicht wiederhergestellt werden),<\/p>\n<p>Objekt-Sperre deaktiviert (Dateien lassen sich \u00fcberschreiben oder l\u00f6schen),<\/p>\n<p>weitreichende Schreibberechtigungen (durch falsch konfigurierte IAM-Richtlinien oder durchgesickerte Anmeldedaten), und<\/p>\n<p>hochwertige Daten (Backup-Dateien, Produktionskonfigurations-Dumps).<\/p>\n<p>Sobald sie sich Zugang verschafft haben, versuchen die Angreifer, eine \u201evollst\u00e4ndige und irreversible Sperrung\u201d der Daten zu erzwingen. Dazu k\u00f6nnen sie Objekte mit f\u00fcr das Opfer unzug\u00e4nglichen Keys verschl\u00fcsseln, Backups l\u00f6schen und die L\u00f6schung von Schl\u00fcsseln planen, damit AWS und der Kunde die Daten nicht wiederherstellen k\u00f6nnen.<\/p>\n<h2 class=\"wp-block-heading\">Cloud-Verschl\u00fcsselung und Schl\u00fcsselverwaltung als Waffe<\/h2>\n<p>Trend Micro hat f\u00fcnf <a href=\"https:\/\/www.csoonline.com\/article\/3803194\/perfide-ransomware-attacke-gegen-aws-nutzer.html\" target=\"_blank\" rel=\"noopener\">S3-Ransomware<\/a>-Varianten identifiziert, die zunehmend die in AWS integrierten Verschl\u00fcsselungspfade ausnutzen. Eine Variante missbraucht die standardm\u00e4\u00dfigen, von AWS verwalteten KMS-Schl\u00fcssel (SSE-KMS), indem sie Daten mit einem vom Angreifer erstellten Schl\u00fcssel verschl\u00fcsselt und diesen Schl\u00fcssel zur L\u00f6schung vormerkt. Eine andere Variante verwendet vom Kunden bereitgestellte Schl\u00fcssel (SSE-C), von denen AWS keine Kopie hat, sodass eine Wiederherstellung unm\u00f6glich ist. Die dritte Variante exfiltriert S3-Bucket-Daten (ohne Versionierung) und l\u00f6scht die Originale.<\/p>\n<p>Die letzten beiden Varianten dringen tiefer in die Key-Management-Infrastruktur <a>ein<\/a><a href=\"https:\/\/www.csoonline.com\/#_msocom_2\">[MB2]<\/a>\u00a0. Eine st\u00fctzt sich auf importiertes Schl\u00fcsselmaterial (Bring your own key \u2013 <a href=\"https:\/\/aws.amazon.com\/blogs\/security\/how-to-byok-bring-your-own-key-to-aws-kms-for-less-than-15-00-a-year-using-aws-cloudhsm\/\">BYOK<\/a>), wodurch Angreifer Daten verschl\u00fcsseln und anschlie\u00dfend die importierten Schl\u00fcssel zerst\u00f6ren oder ung\u00fcltig machen k\u00f6nnen. Die andere missbraucht den External Key Store (XKS) von AWS, bei dem Schl\u00fcsseloperationen au\u00dferhalb von AWS stattfinden. Das bedeutet, dass weder der Kunde noch AWS den Zugriff wiederherstellen k\u00f6nnen, wenn Angreifer die externe Schl\u00fcsselquelle kontrollieren. Zusammengenommen zeigen diese Techniken, dass Angreifer AWS selbst als Verschl\u00fcsselungsmechanismus nutzen.<\/p>\n<p>\u201eIch kann mich nicht erinnern, dies jemals in der Praxis gesehen zu haben\u201c, betont Trey Ford, Chief Strategy and Trust Officer bei Bugcrowd. \u201eDiese Untersuchung ist eine systematische und theoretische Bedrohungsmodellierung. Sie zeigt auf, wie ein Angreifer eine AWS-Umgebung innerhalb einer Kontogrenze verschl\u00fcsseln und L\u00f6segeld daf\u00fcr verlangen k\u00f6nnte.\u201c<\/p>\n<p>Ford f\u00fcgt hinzu: \u201eDies zielt speziell auf die Verwendung externer oder vom Kunden bereitgestellter Schl\u00fcssel (SSE-C bzw. XKS) ab, um die Kontrolle \u00fcber die Schl\u00fcsselverwaltung f\u00fcr die in der Speicherung verwendete Kryptografie zu erlangen.\u201c<\/p>\n<h2 class=\"wp-block-heading\">Schutzma\u00dfnahmen<\/h2>\n<p>Die Trend-Micro-Forscher fordern Kunden dringend auf, ihre S3-Umgebungen zu sichern, indem sie Least-Priviledge-Zugang erzwingen und Schutzma\u00dfnahmen wie Versionierung und Object Lock aktivieren. Zudem sollten Unternehmen bereitgestellte oder externe Schl\u00fcsselquellen, die die Wiederherstellung beeintr\u00e4chtigen k\u00f6nnen, streng regulieren. Au\u00dferdem wird empfohlen, Backups in separaten Konten zu isolieren und die Cloud-Audit-Protokolle kontinuierlich auf Anzeichen verd\u00e4chtiger Schl\u00fcsselaktivit\u00e4ten, Massenverschl\u00fcsselung oder gro\u00df angelegte Objektl\u00f6schungen zu \u00fcberwachen.<\/p>\n<p>\u201eEine \u201aAssume Breach\u2018-Mentalit\u00e4t ist in der Cloud unerl\u00e4sslich: Laufzeitumgebungen sollten unver\u00e4nderlich sein, Identit\u00e4ten m\u00fcssen \u00fcber streng begrenzte Berechtigungen und kurzlebige Anmeldedaten verf\u00fcgen\u201c, erkl\u00e4rt Morin von Sysdig. Nach Meinung des Experten ben\u00f6tigen Netzwerke eine sinnvolle Segmentierung und kritische Datens\u00e4tze m\u00fcssen gesichert werden. \u201eModerne Betriebsabl\u00e4ufe sind von komplexen Lieferketten abh\u00e4ngig, und eine Ransomware, die einen wichtigen Partner betrifft, kann Ihr Unternehmen genauso vollst\u00e4ndig lahmlegen wie eine direkte Kompromittierung.\u201c (jm)<\/p>\n<p><a><\/a><\/p>\n\n<p><a><\/a><\/p>\n\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>Ransomware-Banden haben ihren Fokus von traditionellen lokalen Zielen auf Cloud-Speicherdienste und insbesondere Amazon S3 verlagert. ImageFlow \u2013 shutterstock.com Ein aktueller Bericht von Trend Micro beschreibt eine neue Welle von Angriffen, bei denen Angreifer Cloud-native Verschl\u00fcsselungs- und Schl\u00fcsselverwaltungsdienste integrieren, anstatt lediglich Daten zu stehlen oder zu l\u00f6schen. \u201eB\u00f6swillige Aktivit\u00e4ten, die auf S3 Buckets abzielen, sind nichts [&hellip;]<\/p>\n","protected":false},"author":0,"featured_media":5928,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-5927","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/5927"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=5927"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/5927\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/5928"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=5927"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=5927"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=5927"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}