Schutz vor Ransomware in AWS S3

Der Codefinger-Angriff stellt eine neue Grenze für cloud ransomware dar, die kompromittierte AWS-Schlüssel nutzt, um Amazon S3-Buckets anzugreifen. Durch Ausnutzung der AWS Server-Side Encryption with Customer-Provided Keys (SSE-C) verschlüsselt diese fortschrittliche ransomware S3-Objekte, sodass Unternehmen ohne den Entschlüsselungsschlüssel des Angreifers nicht mehr auf ihre Daten zugreifen können. Der Angreifer verstärkt die Dringlichkeit, indem er Dateien zum Löschen markiert, was den Schweregrad der Bedrohung noch erhöht.

Was diesen Angriff besonders besorgniserregend macht, ist die Verwendung von AWS-eigenen Verschlüsselungsfunktionen, um Unternehmen von ihren eigenen Daten auszusperren, ohne eine AWS-Schwachstelle auszunutzen. Dieser ausgeklügelte Ansatz unterstreicht die Notwendigkeit für Unternehmen, robuste cloud einzuführen, die sowohl Prävention als auch Erkennung umfassen.

Der Arbeitsablauf des Codefinger-Angriffs

Im Gegensatz zu früheren ransomware , die sich in erster Linie auf die lokale Verschlüsselung von Dateien konzentrierten, umfassen moderne ransomware häufig Datendiebstahl, Erpressungsdrohungen und fortschrittliche cloud Taktiken. Der Codefinger-Angriff veranschaulicht diese Entwicklung, indem er die cloud Funktionen von AWS nutzt, wie z. B. die Server-Side Encryption with Customer-Provided Keys (SSE-C) von Amazon S3, um sich direkt in die Umgebung des Opfers zu integrieren und herkömmliche Wiederherstellungsmethoden unwirksam zu machen.

Im Folgenden finden Sie eine kurze Aufschlüsselung - basierend auf der Analyse von Halcyon - wie der Angriff der Codefinger-Bedrohungsakteure abläuft, vom anfänglichen Zugriff bis zum Einsatz des Lösegelds:

1. Erster Zugriff: Der Angreifer verwendet öffentlich zugängliche oder kompromittierte AWS-API-Schlüssel, um Zugriff auf das Konto des Opfers zu erhalten.
2. Entdeckung: Wenn ein Angreifer erst einmal drin ist, muss er zwangsläufig Vorgänge wie die Aufzählung von S3-Buckets und -Objekten durchführen.
3. Missbrauch von Anmeldeinformationen: Mit gestohlenen Anmeldeinformationen greift der Angreifer auf S3-Buckets zu und lädt Objekte herunter.
4. Verschlüsselung über SSE-C: Der Angreifer verschlüsselt die Daten mit symmetrischen Schlüsseln, die der Bedrohungsakteur besitzt/erzeugt, so dass sie für das Opfer nicht mehr wiederherstellbar sind.
5. Manipulation des Lebenszyklus: Die Richtlinien für den Lebenszyklus von Objekten werden geändert, um Dateien zum Löschen zu markieren und die Opfer dazu zu bewegen, den Lösegeldforderungen nachzukommen.
6. Bereitstellung von Lösegeld: In den betroffenen Verzeichnissen werden Erpresserbriefe platziert, die Zahlungsanweisungen enthalten und vor Eingriffen warnen.

Warum Vorbeugung nicht genug ist

AWS rät Unternehmen, robuste Präventivmaßnahmen als erste Verteidigungslinie gegen ransomware zu ergreifen.

Diese Maßnahmen umfassen:

1. Implementieren Sie kurzfristige Anmeldedaten: Die Vermeidung langfristiger Anmeldeinformationen eliminiert das Risiko einer Kompromittierung, da Anmeldeinformationen, die nicht existieren, nicht gestohlen werden können. Verwenden Sie AWS-Tools wie IAM-Rollen, IAM Identity Center und Security Token Service (STS), um sicheren, kurzfristigen Zugriff zu ermöglichen, ohne Anmeldeinformationen in Code oder Konfigurationsdateien zu speichern.
2. Aktivieren Sie Versionierung und Objektsperre in S3-Buckets: Die Versionierung verhindert dauerhaften Datenverlust, indem sie die Wiederherstellung früherer Objektversionen ermöglicht, während die Objektsperre vor dem Überschreiben oder Löschen wichtiger Daten schützt.
3. Schränken Sie die Nutzung von SSE-C ein: Verwenden Sie IAM-Richtlinien, um SSE-C zu blockieren, wenn es nicht ausdrücklich erforderlich ist. Dies verhindert, dass Angreifer benutzerdefinierte Verschlüsselungsschlüssel ausnutzen, um Sie von Ihren Daten auszusperren.
4. Zentralisierte Schlüsselverwaltung: Nutzen Sie die zentralisierte Kontrolle über kryptografische Schlüssel mit AWS KMS (Key Management Service). Wenden Sie Service Control Policies (SCPs) an, um die Verwendung bestimmter Schlüssel und kryptografischer Operationen auf vertrauenswürdige Benutzer und Anwendungen zu beschränken.
5. Implementieren Sie erweiterte Protokollierung und Überwachung: Aktivieren Sie AWS CloudTrail mit umfassender S3-Data-Plane-Protokollierung zur Überwachung aller Bucker-Aktivitäten. Konfigurieren Sie Alarme für ungewöhnliche API-Aktivitäten, z. B. Massenverschlüsselung, Lebenszyklusrichtlinienänderungen oder unbefugte Verwendung von Replikationsregeln.

Diese Schritte können die Angriffsfläche erheblich reduzieren und die Möglichkeiten für Angreifer, cloud Funktionen auszunutzen, einschränken. Wie fortgeschrittene Angriffe wie Codefinger zeigen, ist Prävention allein jedoch nicht ausreichend. Selbst mit den besten präventiven Kontrollen können Angreifer immer noch Schutzmaßnahmen umgehen, indem sie Fehlkonfigurationen ausnutzen, sich über kompromittierte Schlüssel Zugang verschaffen oder legitime cloud missbrauchen.

Das Whitepaper von Kat Traxler über Cloud Ransomware zeigt auf, wie Angreifer cloud Tools für böswillige Zwecke ausnutzen. Die Studie skizziert wichtige Erkenntnisse, etwa wie Lücken in der Protokollierung und Überwachung es Angreifern ermöglichen, ihre Aktivitäten zu verbergen, sowie die verschiedenen Lebenszyklusphasen von cloud ransomware. Diese Erkenntnisse unterstreichen die Notwendigkeit einer umfassenden Strategie, die robuste Präventivmaßnahmen mit proaktiver Bedrohungserkennung und -bekämpfung kombiniert.

Bewährte Praktiken: Robuste Erkennung von Bedrohungen nach der Kompromittierung in AWS

Als Ergänzung zu den präventiven Empfehlungen von AWS sollten Unternehmen die folgenden bewährten Verfahren zur Erkennung und Reaktion implementieren:

1. Überwachen Sie Verhaltensweisen im Frühstadium: Die Erkennung von Aufklärungsaktivitäten, wie z. B. die Aufzählung von Buckets oder die Erkennung von IAM-Berechtigungen, kann Angreifer davon abhalten, ihre Pläne weiterzuverfolgen.
2. Verhaltensbasierte Erkennung: Verwenden Sie Verhaltensanalysen, um ungewöhnliche Muster in API-Aufrufen, Privilegieneskalationen oder Verschlüsselungsereignissen zu erkennen.
3. Umfassende Protokollierung: Stellen Sie sicher, dass CloudTrail für alle Regionen und Dienste, einschließlich S3-Datenereignisse, aktiviert ist, um Einblick in potenziell bösartige Aktionen zu erhalten.
4. Automatisierte Reaktion auf Vorfälle: Nutzen Sie automatisierte Arbeitsabläufe, um kompromittierte Konten oder Dienste sofort zu isolieren, sobald verdächtige Aktivitäten entdeckt werden.
5. Schadensbegrenzung nach der Kompromittierung: Konzentrieren Sie sich darauf, Seitwärtsbewegungen zu stoppen und den Schaden zu minimieren, indem Sie auf Anzeichen für eine Ausweitung von Berechtigungen, nicht autorisierte Änderungen von Lebenszyklusrichtlinien oder Massenoperationen von Daten achten.

Vorbeugende Kontrollen sind wichtig, aber sie können das Risiko einer Gefährdung nicht ausschließen. Durch die Kombination von proaktiver Prävention mit robusten Erkennungs- und Reaktionsfunktionen können Unternehmen ein robustes cloud aufbauen, das fortschrittliche Bedrohungen wie Codefinger abwehren kann.

Wie die Vectra AI helfen kann

Die Vectra AI bietet einen beispiellosen Einblick in das, was Angreifer vor und nach der Anmeldung tun, KI-Priorisierung und umfassende Reaktionsmöglichkeiten, um Sicherheitsteams bei der Abwehr ausgeklügelter Angriffe zu unterstützen, die von Bedrohungsakteuren wie Codefinger eingesetzt werden:

Deckung zur Verringerung der Exposition

Die Vectra AI bietet Transparenz in cloud und identifiziert Bedrohungen, bevor sie eskalieren. Durch die Überwachung von AWS-Diensten auf verdächtige Aktivitäten ermöglicht die Plattform die Erkennung von unbefugtem Zugriff, Privilegienerweiterung und anderen Verhaltensweisen ransomware und hilft Unternehmen, die Gefährdung zu verringern und die Abwehr zu stärken.

Klarheit zur Beseitigung von Latenzzeiten bei der Erkennung von Bedrohungen

Die Vectra AI erkennt nicht nur Bedrohungen, sondern priorisiert auch Vorfälle auf der Grundlage des Risikos. Die Vectra-Plattform nutzt KI, um verdächtige Verhaltensweisen den ursprünglichen Akteuren und nicht den Rollen zuzuordnen, und liefert den notwendigen Kontext für jede Phase des Angriffs. So können sich Sicherheitsteams ein vollständiges Bild machen und Untersuchungen effizienter gestalten. Indem Bedrohungen auf der Grundlage des Verhaltens der Angreifer und nicht auf der Grundlage von Unterschieden aufgedeckt werden, können Sicherheitsteams Prioritäten setzen und die kritischsten Probleme zuerst angehen.

Kontrolle zur Unterbindung von Angriffen

Vectra AI versetzt Sicherheitsteams in die Lage, die Kontrolle zu behalten und Angriffe durch eine Kombination aus Automatisierung und Expertenunterstützung zu stoppen. Sicherheitsanalysten können sofortige Untersuchungen für geführte Pfade zur Verfolgung des Angriffsverlaufs und erweiterte Untersuchungen für benutzerdefinierte Abfragen über Netzwerk-Metadaten, Identität und AWS-Protokolle nutzen. Cloud Reaktionsworkflows ermöglichen es Teams, cloud über Regionen hinweg zu isolieren und zu sperren, um sie schnell einzudämmen.

Vectra AI lässt sich nahtlos mit führenden EDR-, SIEM-, SOAR- und ITSM-Plattformen, einschließlich AWS Security Hub,integrieren, um Playbooks für die Reaktion auf Vorfälle zu automatisieren und zu orchestrieren. Für zusätzliche Unterstützung können Sicherheitsteams mit Vectra MXDR die Erkennung, Untersuchung und Reaktion auf Bedrohungen an Experten für hybride Angriffe auslagern.

Durch die Nutzung dieser Funktionen können Sicherheitsteams Angreifer mit Zugriff auf AWS-Schlüssel stoppen, bevor sie ihre Operationen eskalieren.

Erfahren Sie mehr darüber, wie Vectra AI AI Ihnen helfen kann, indem Sie sich unsere selbstgeführte Tour ansehen, oder vereinbaren Sie noch heute einen Termin für eine Sicherheitsbewertung, um Ihre Sicherheitslücken zu identifizieren!