Diese Ransomware macht AWS-Usern das Leben schwer
Eine neue Ransomware namens Codefinger macht von sich reden. Besonders an ihr ist, dass sie Dateien in AWS-Speichern verschlüsselt. Die Tricks, mit denen die Schadsoftware Zugriff auf die Nutzerkonten beim Hyperscaler erlangt, sind dagegen nicht neu.
Wer Daten in der Cloud von Amazon Web Services (AWS) speichert, könnte ins Visier von Codefinger geraten. Dabei handelt es sich um eine Ransomware, die in letzter Zeit ihr Unwesen treibt und vor der mehrere Cybersecurity-Anbieter warnen. Laut diesen Berichten tut Codefinger im Grunde, was alle Ransomware-Programme tun: Die Schadsoftware verschlüsselt Dateien und hinterlässt ein Erpresserschreiben. Nur gegen Zahlung rücken die Kriminellen hinter der Malware den Entschlüsselungs-Code wieder raus.
Was Codefinger auszeichnet, ist der Umstand, dass das Programm die Dateien direkt im AWS-Speicher verschlüsselt, wie einem "Forbes"-Bericht zu entnehmen ist, der sich unter anderem auf eine Analyse des Cybersecurity-Anbieters Halcyon beruft. Dabei nutzt die Malware einen von AWS angebotenen Dienst, nämlich die serverseitige Verschlüsselung mit Client generierten Schlüsseln ("server-side encryption with customer-provided keys", auch SSE-C genannt). Einmal verschlüsselt, könnten die Dateien nur noch mit Hilfe der Cyberkriminellen und des bei ihnen liegenden Entschlüsselungs-Keys wiederhergestellt werden, erklärt Halcyon. Die meiste bisher bekannte Ransomware verschlüsselte Daten nicht auf einem Cloud-Speicher direkt, sondern entweder lokal auf dem Gerät von Endanwendern oder auf dem Weg vom Anwender zum Cloud-Speicher, wie es bei "Forbes" heisst.
AWS kann nichts dafür
Bleibt noch die Frage, wie Codefinger auf die AWS-Speicher (AWS S3 Bouquets genannt) zugreifen kann. Eine Antwort liefert Cybersecurity-Anbieter Kaspersky. Im Darknet finde man eine grosse Anzahl von kompromittierten Account-Informationen, die auf unterschiedliche Weise Zugang zu AWS bieten, schreibt das Unternehmen. Gesammelt wurden diese Zugangsdaten wiederum in vielen Fällen durch weitere Malware-Programme, den sogenannten Infostealern, die auf das Abgreifen von Login-Daten spezialisiert sind. Codefinger nutzt demnach keine Schwachstelle aus, sondern verwendet die versehentlich oder krimineller Weise weitergegebenen Zugangsdaten von AWS-Kunden für seine Angriffe.
Gegenüber "Forbes" bekräftigt AWS, man unterstütze seine Kundschaft beim Sichern der Daten, verfolge aber einen Ansatz der geteilten Verantwortung. "Wann immer AWS von exponierten Schlüsseln erfährt, benachrichtigen wir die betroffenen Kunden. Ausserdem analysieren wir alle Berichte über frei zugängliche Schlüssel gründlich und ergreifen schnell alle notwendigen Massnahmen, wie etwa die Anwendung von Quarantäne-Richtlinien, um die Risiken für Kunden zu minimieren, ohne ihre IT-Umgebung zu beeinträchtigen", schreibt das Unternehmen.
Anlässlich der Hausmesse Re:invent 2024 traf sich die Redaktion mit Mark Ryland aus dem CISO-Team von AWS. Hier erfahren Sie von ihm, wie AWS seine Kunden in puncto Cybersecurity unterstützt.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Betrüger ködern Bücherwürmer mit vermeintlichem Orell-Füssli-Angebot
Topmoderne Sicherheit und hochwertige Professional Services aus einer Hand
Cyberkriminelle greifen Messe-Bauer Syma an
Ransomware-Gruppe nutzt Sicherheitslücken in Fortinet-Firewalls aus
Apple verbessert Schutz gegen Zero-Day-Schwachstelle in Web-Browsern
Das sind die Shortlist-Kandidaten von Best of .swiss
Microsoft behebt kritische Windows-Sicherheitslücken
Wenn die Telefongesellschaft nicht locker lassen will
Check Point befördert Schweiz-Chef zum Director Globals EMEA und Asia
