Eine neue Ransomware-Bedrohung namens Codefinger nimmt Benutzer von AWS-S3-Buckets ins Visier.
Ransomware-Angriffe sind immer ernst zu nehmen, aber diese neue Form der Ransomware lässt keine Möglichkeit, die Daten ohne Zahlung wiederherzustellen, sobald sie verschlüsselt wurden. Dies bringt Unternehmen in eine Zwickmühle und verdeutlicht die zunehmende Raffinesse von Ransomware-Angriffen.
Lesen Sie weiter, um mehr über den Angriff zu erfahren und zu erfahren, wie Ihr Unternehmen ihn verhindern kann.
Was ist diese neue Ransomware?
Jedes Objekt in einem S3-Bucket hat einen eindeutigen Schlüssel (Namen), der es identifiziert.
Der Angriff von Codefinger nutzt die Server-Side Encryption with Customer Provided Keys (SSE-C) von AWS, um Daten zu verschlüsseln und die Zahlung für die AES-256-Schlüssel zu verlangen, die zum Entschlüsseln der Daten benötigt werden.
Es gibt keine Möglichkeit, die Daten wiederherzustellen, ohne zu bezahlen, sobald sie verschlüsselt wurden. Wenn Daten mit AES-256 verschlüsselt werden, ist es praktisch unmöglich, sie ohne die richtigen Schlüssel zu entschlüsseln. Das bedeutet, dass Unternehmen nur begrenzte Möglichkeiten haben: Lösegeld zahlen oder den Zugriff auf wichtige Daten verlieren.
Es ist wichtig zu beachten, dass dieser Angriff keine AWS-Schwachstelle ausnutzt, sondern darauf beruht, dass ein nicht autorisierter Benutzer die Anmeldedaten eines AWS-Kunden erlangt.
Wie funktioniert dieser Angriff?
- Der Bedrohungsakteur verwendet entweder öffentlich zugängliche oder kompromittierte AWS-Schlüssel und findet Schlüssel mit Berechtigungen zum Ausführen von „s3:GetObject“- und „s3:PutObject“-Anfragen.
- Die Dateien werden dann mit SSE-C unter Verwendung eines AES-256-Schlüssels verschlüsselt, der vom Angreifer im laufenden Betrieb generiert wird und zum Entschlüsseln der Datei erforderlich ist. Dieser Schlüssel wird nicht in der Cloud gespeichert, sodass selbst AWS ihn nicht wiederherstellen kann.
- Der Bedrohungsakteur legt dann Lebenszyklusrichtlinien für die Löschung von Dateien fest und nutzt die S3-Objekt-Lebenszyklus-Management-Schnittstelle, um der Forderung Nachdruck zu verleihen.
- In jedem betroffenen Verzeichnis wird eine Lösegeldforderung hinterlegt, in der darauf hingewiesen wird, dass Änderungen an den Kontoberechtigungen oder den betroffenen Dateien jegliche Verhandlungen beenden.
Wie können Sie diese Bedrohung verhindern?
Die wichtigsten Schritte zum Schutz Ihrer AWS-Umgebung und zur Minimierung des Risikos eines Datenverlusts sind die Implementierung von Kurzzeit-Zugangsdaten, die Überwachung von AWS-Ressourcen, die Verwendung von S3 Object Lock für kritische Informationen, die Blockierung der Verwendung von SSE-C, es sei denn, dies ist für eine Anwendung erforderlich, die Verwendung spezifischer KMS-Schlüssel oder SSE-S3-Schlüssel, die Versionierung und Sicherung Ihrer kritischen S3-Daten sowie die Überwachung von Identitäten beim Zugriff auf Daten. Durch diese Schritte können Sie das Risiko einer Gefährdung Ihrer AWS-Umgebung verringern.
So hilft Varonis mit automatisierten Sanierungen für AWS
Die DSPM-Funktionen von Varonis ermöglichen die automatische Erkennung und Behebung kritischer AWS-Probleme, die zu Ransomware-Angriffen und Datenschutzverletzungen führen können. Varonis automatisiert Aktionen wie fehlende Passwortrichtlinien, Durchsetzung von S3-Objektbesitz, Entfernen veralteter Benutzer und Rollen sowie Löschen inaktiver Zugriffsschlüssel.
Den öffentlichen Zugriff auf S3-Buckets automatisch blockieren
AWS bietet Unternehmen die Flexibilität und Leistungsfähigkeit, um Cloud-Daten-Workloads schnell zu erstellen und zu verbreiten. Bei komplizierten Zugriffsrichtlinien und komplexen Konfigurationen können kritische Risiken und Fehlkonfigurationen jedoch leicht unbemerkt bleiben. Mit Varonis for AWS können Sicherheitsteams sensitive Daten und Workloads automatisch entdecken und klassifizieren, Fehlkonfigurationen beheben, das Least-Privilege-Prinzip durchsetzen und Bedrohungen erkennen.
Veraltete Benutzer, Rollen und Zugriffsschlüssel entfernen
Selbst im Falle eines Ransomware-Angriffs besteht der erste Schritt für Angreifer meist darin, eine Identität zu kompromittieren, wobei sie bewährte Techniken wie Phishing und Password Spraying einsetzen, um Zugriff zu erhalten. Sobald sie über die entsprechenden Berechtigungen verfügen, haben sie Zugriff auf Ihre Daten. Da die Identität oft das schwache Glied ist, besteht der erste Schritt darin, die Berechtigungsstrukturen zu entwirren und sicherzustellen, dass nur die richtigen Personen Zugriff auf wichtige Dateien, Ordner und Postfächer haben. Varonis führt ein vollständiges Inventar der Benutzer, Rollen und Zugriffsschlüssel in Ihrer AWS-Umgebung und identifiziert veraltete Benutzer, inaktive Konten und ungewöhnliches Verhalten, das auf einen Angriff hindeutet, wie z. B. eine unerwartete Eskalationen von Berechtigungen. Diese granulare Kontrolle hilft, Offboarding-Lücken zu schließen, identitätsbezogene Bedrohungen zu erkennen und Ihren möglichen Schaden schnell zu verringern.
Varonis für AWS kostenlos testen
Die im AWS Marketplace erhältliche Varonis Data Security Platform unterstützt Sicherheitsteams dabei, ihre Datensicherheitslage kontinuierlich und in Echtzeit zu überwachen und zu verbessern.
Wie soll ich vorgehen?
Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:
Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.
Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.
Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.
