Veröffentlicht inDigital Life

Amazon: Neue Betrugsmasche – diese Kunden müssen Lösegeld zahlen

Dana Neumann von Dana Neumann

Wer den Cloud-Speicher S3 nutzt, muss damit rechnen, erpresst zu werden. Kriminelle haben es anscheinend auf ihre Daten und ihr Geld abgesehen.

Finger zeigt auf das Amazon-Logo auf einem Bildschirm.
© Ascannio - stock.adobe.com

Amazon: Das ist die Geschichte des amerikanischen Versand-Riesen

Seit Jahrzehnten bereits ist Amazon einer der größten Onlineversandhändler weltweit. Hier ist die Geschichte des amerikanischen Versand-Riesen.

Sicherheitsexpertinnen und -experten haben eine neue Ransomware-Kampagne aufgedeckt. Cyberkriminelle verschlüsseln Daten von Kund*innen, die Amazons Service S3 nutzen, indem sie den Verschlüsselungsmechanismus missbrauchen. Der Schlüssel zur Decodierung bleibt dabei ausschließlich im Besitz der Angreifer*innen, die Lösegeld verlangen, um diesen herauszugeben.

So funktioniert der Angriff auf Amazon S3

Amazon Simple Storage Service (Amazon S3) ist ein weit verbreiteter Cloud-Speicherdienst von Amazon Web Services (AWS), der für die Sicherung und Archivierung von Daten genutzt wird. Nutzer*innen können ihre Daten in sogenannten Buckets ablegen und diese mittels verschiedener Optionen verschlüsseln. Die betroffene Methode SSE-C erlaubt es, ihre eigenen Schlüssel zur Datenverschlüsselung zu verwenden, die von AWS nicht gespeichert werden.

Entdeckt hatten Forschende von Halcyon RISE die neue Betrugskampagne. Demnach verschafft sich eine Gruppe, die man Codefinger getauft hat, durch kompromittierte AWS-Zugangsdaten Zugriff auf die S3-Buckets der Opfer. Mit den Rechten s3:GetObject und s3:PutObject sind sie in der Lage, auf Objekte zuzugreifen und sie zu manipulieren. Anschließend erzeugen sie lokal einen eigenen Verschlüsselungsschlüssel und verwenden diesen, um die Daten im Bucket zu codieren. Da AWS diese Codes nicht speichert, bleibt das Opfer ohne den Schlüssel der Angreifer*innen handlungsunfähig.

Zusätzlich setzen die Kriminellen eine siebentägige Löschfrist für die verschlüsselten Dateien und hinterlassen Lösegeldforderungen in den betroffenen Verzeichnissen. Wird es nicht gezahlt oder versucht das Opfer, die Rechte des Accounts zu ändern, droht die Gruppe damit, die Verhandlungen sofort abzubrechen.

Lesetipp: Diesen Dienst stellt Amazon Prime Ende Januar ein

Gibt es Schutz vor der Codefinger-Kampagne?

Halcyon hat Amazon bereits informiert. AWS betont in einer Stellungnahme, dass man betroffene Kund*innen schnellstmöglich benachrichtige und Maßnahmen ergreife, um die Gefahr zu minimieren. Die Sicherheitsforschenden empfehlen in der Zwischenzeit, den Einsatz von SSE-C vollständig zu vermeiden, wenn keine absolute Notwendigkeit besteht.

Stattdessen sollten andere, sicherere Verschlüsselungsoptionen gewählt werden. Darüber hinaus rät das Unternehmen, ungenutzte AWS-Schlüssel zu deaktivieren und aktive Schlüssel regelmäßig zu rotieren. Nutzer*innen sollten außerdem ihre Account-Berechtigungen so restriktiv wie möglich gestalten.

Quellen: Halcyon

Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.

Du willst mehr von uns lesen? Folge uns auf Google News.