Internet-Betrüger haben eine neue Masche entwickelt, die sich gezielt gegen Nutzer von Amazon Web Services (AWS) richtet. Kriminelle verschlüsseln dabei Amazon S3-Buckets und fordern Lösegeld für den Zugriff auf die betroffenen Daten. Laut einem Bericht von Merkur wurde diese Methode von Sicherheitsforschern identifiziert und trägt den Namen „Codefinger“. Hierbei kommen gestohlene Zugangsdaten zum Einsatz, um den SSE-C-Schlüssel der Kunden zu erbeuten, der für die serverseitige Verschlüsselung von ruhenden Daten bei Amazon S3 erforderlich ist.
Laut dem Sicherheitsunternehmen Halcyon wurden mindestens zwei Fälle verzeichnet, in denen dieser Sicherheitsschlüssel abgegriffen wurde. Betroffene Kunden erhalten von den Angreifern eine Löschrichtlinie von sieben Tagen sowie eine Lösegeldforderung, die in Bitcoin zu entrichten ist. Amazon Web Services hat daraufhin seine Kunden dazu aufgerufen, Sicherheitsvorkehrungen zu treffen, indem sie nicht genutzte Sicherheitsschlüssel deaktivieren, aktive Schlüssel regelmäßig austauschen und die Nutzungsrechte minimieren.
Neue Risiken durch Ransomware-Codefinger
Die Ransomware-Bedrohung „Codefinger“ richtet sich speziell an Nutzer von Amazon S3-Buckets. Dies wurde in einem Bericht des Halcyon Threat Research Teams am 13. Januar 2025 bestätigt, der im Detail beschreibt, wie die Ransomware operiert und welche Gefahren für die Nutzer bestehen. Angreifer setzen hierbei AES-256 Schlüssel ein, die vom Kunden bereitgestellt werden, um die Daten zu verschlüsseln und verlangen eine Zahlung, um die notwendigen Schlüssel zur Entschlüsselung bereitzustellen, wie Forbes berichtet.
Halcyon warnt vor der besonderen Gefährlichkeit dieser Ransomware-Kampagne, da eine Wiederherstellung der Daten ohne den Schlüssel des Angreifers nahezu unmöglich ist. Anders als bei vielen Schadprogrammen, die Schwachstellen von AWS ausnutzen, erlangen die Angreifer Zugang zu den Kundenkonten durch den Diebstahl von Anmeldedaten. In jedem betroffenen Verzeichnis wird eine Lösegeldnotiz hinterlassen, die betroffene Nutzer vor Änderungen an Kontoberechtigungen oder Dateien warnt.
Die britische Regierung plant unterdessen, Lösegeldzahlungen an spezielle Opfer, einschließlich Unternehmen der nationalen Infrastruktur, zu verbieten, was komplexe Probleme aufwerfen könnte, insbesondere wenn eine Wiederherstellung der Daten ohne Zahlung nicht möglich ist. Es wird angeregt, dass staatliche Unterstützung für Opfer einer solchen Bedrohung notwendig sein könnte.
