Eine neue Ransomware-Bedrohung namens Codefinger nimmt Benutzer von AWS-S3-Buckets ins Visier.
Ransomware-Angriffe sind immer ernst zu nehmen, aber diese neue Form der Ransomware lässt keine Möglichkeit, die Daten ohne Zahlung wiederherzustellen, sobald sie verschlüsselt wurden. Dies bringt Unternehmen in eine Zwickmühle und verdeutlicht die zunehmende Raffinesse von Ransomware-Angriffen.
Lesen Sie weiter, um mehr über den Angriff zu erfahren und zu erfahren, wie Ihr Unternehmen ihn verhindern kann.
Jedes Objekt in einem S3-Bucket hat einen eindeutigen Schlüssel (Namen), der es identifiziert.
Der Angriff von Codefinger nutzt die Server-Side Encryption with Customer Provided Keys (SSE-C) von AWS, um Daten zu verschlüsseln und die Zahlung für die AES-256-Schlüssel zu verlangen, die zum Entschlüsseln der Daten benötigt werden.
Es gibt keine Möglichkeit, die Daten wiederherzustellen, ohne zu bezahlen, sobald sie verschlüsselt wurden. Wenn Daten mit AES-256 verschlüsselt werden, ist es praktisch unmöglich, sie ohne die richtigen Schlüssel zu entschlüsseln. Das bedeutet, dass Unternehmen nur begrenzte Möglichkeiten haben: Lösegeld zahlen oder den Zugriff auf wichtige Daten verlieren.
Es ist wichtig zu beachten, dass dieser Angriff keine AWS-Schwachstelle ausnutzt, sondern darauf beruht, dass ein nicht autorisierter Benutzer die Anmeldedaten eines AWS-Kunden erlangt.
Die wichtigsten Schritte zum Schutz Ihrer AWS-Umgebung und zur Minimierung des Risikos eines Datenverlusts sind die Implementierung von Kurzzeit-Zugangsdaten, die Überwachung von AWS-Ressourcen, die Verwendung von S3 Object Lock für kritische Informationen, die Blockierung der Verwendung von SSE-C, es sei denn, dies ist für eine Anwendung erforderlich, die Verwendung spezifischer KMS-Schlüssel oder SSE-S3-Schlüssel, die Versionierung und Sicherung Ihrer kritischen S3-Daten sowie die Überwachung von Identitäten beim Zugriff auf Daten. Durch diese Schritte können Sie das Risiko einer Gefährdung Ihrer AWS-Umgebung verringern.
Die DSPM-Funktionen von Varonis ermöglichen die automatische Erkennung und Behebung kritischer AWS-Probleme, die zu Ransomware-Angriffen und Datenschutzverletzungen führen können. Varonis automatisiert Aktionen wie fehlende Passwortrichtlinien, Durchsetzung von S3-Objektbesitz, Entfernen veralteter Benutzer und Rollen sowie Löschen inaktiver Zugriffsschlüssel.
AWS bietet Unternehmen die Flexibilität und Leistungsfähigkeit, um Cloud-Daten-Workloads schnell zu erstellen und zu verbreiten. Bei komplizierten Zugriffsrichtlinien und komplexen Konfigurationen können kritische Risiken und Fehlkonfigurationen jedoch leicht unbemerkt bleiben. Mit Varonis for AWS können Sicherheitsteams sensitive Daten und Workloads automatisch entdecken und klassifizieren, Fehlkonfigurationen beheben, das Least-Privilege-Prinzip durchsetzen und Bedrohungen erkennen.
Selbst im Falle eines Ransomware-Angriffs besteht der erste Schritt für Angreifer meist darin, eine Identität zu kompromittieren, wobei sie bewährte Techniken wie Phishing und Password Spraying einsetzen, um Zugriff zu erhalten. Sobald sie über die entsprechenden Berechtigungen verfügen, haben sie Zugriff auf Ihre Daten. Da die Identität oft das schwache Glied ist, besteht der erste Schritt darin, die Berechtigungsstrukturen zu entwirren und sicherzustellen, dass nur die richtigen Personen Zugriff auf wichtige Dateien, Ordner und Postfächer haben. Varonis führt ein vollständiges Inventar der Benutzer, Rollen und Zugriffsschlüssel in Ihrer AWS-Umgebung und identifiziert veraltete Benutzer, inaktive Konten und ungewöhnliches Verhalten, das auf einen Angriff hindeutet, wie z. B. eine unerwartete Eskalationen von Berechtigungen. Diese granulare Kontrolle hilft, Offboarding-Lücken zu schließen, identitätsbezogene Bedrohungen zu erkennen und Ihren möglichen Schaden schnell zu verringern.
Die im AWS Marketplace erhältliche Varonis Data Security Platform unterstützt Sicherheitsteams dabei, ihre Datensicherheitslage kontinuierlich und in Echtzeit zu überwachen und zu verbessern.