Neue Erpresser-Masche: Angreifer kapern komplette AWS-Instanzen
Die Erpresserbanden scheinen langsam an die Grenzen bei der Verbreitung klassischer Ransomware zu gelangen und wenden sich möglichst neuen "Märkten" zu. Aktuell werden ganze Cloud-Instanzen gekapert, um Lösegeld von Unternehmen verlangen zu können.
Die Forscher fanden heraus, dass bereits rund 110.000 Domains von Angreifern ins Visier genommen wurden. Die Täter, die offenbar ein tiefes Verständnis für Cloud-Architekturen haben, nutzen dabei Schwächen in der Cloud-Sicherheit aus, insbesondere bei Unternehmen, die ihre Umgebungsvariablen offenlegen, Anmeldeinformationen nicht regelmäßig aktualisieren und bei der Rechtevergabe schlampig agieren. Diese Firmen sahen sich schließlich mit Lösegeldforderungen konfrontiert, nachdem ihre Daten in S3-Buckets durch eine Erpressernachricht ausgetauscht wurden.
Die Angreifer durchsuchten dabei ungesicherte Webanwendungen gezielt nach .env-Dateien, die Identitäts- und Zugriffsmanagement-Schlüssel (IAM) offenlegten. Nachdem sie diese Schlüssel erlangt hatten, führten sie API-Aufrufe durch, um die Identität zu bestätigen und Benutzer sowie S3-Buckets innerhalb des AWS-Kontos zu ermitteln. Zwar hatten die erlangten Schlüssel nicht die gewünschten Administratorrechte, dennoch konnten die Angreifer neue IAM-Rollen erstellen und diese mit Administratorrechten versehen, um ihre Privilegien zu erweitern.
Im Rahmen ihrer Angriffe schufen die Kriminellen eine IAM-Rolle namens "lambda-ex" und nutzten diese, um AWS-Lambda-Funktionen zu erstellen, mit denen sie automatisierte Scans durchführten. Obwohl der Aufbau einer EC2-Infrastruktur zunächst fehlschlug, gelang es ihnen schließlich, mithilfe dieser Lambda-Funktionen weitere Ziele zu identifizieren und anzugreifen.
Siehe auch:
Hunderttausend Domains im Visier
Sicherheitsforscher des Unternehmens Cyble haben eine ausgeklügelte Erpressungskampagne analysiert, die gezielt auf falsch konfigurierte Umgebungsdateien (.env) für Amazon Web Services-Instanzen (AWS) abzielt. Diese Dateien enthalten oft sensible Daten wie Cloud-Zugangsschlüssel, API-Schlüssel für SaaS-Dienste und Datenbankanmeldedaten.Die Forscher fanden heraus, dass bereits rund 110.000 Domains von Angreifern ins Visier genommen wurden. Die Täter, die offenbar ein tiefes Verständnis für Cloud-Architekturen haben, nutzen dabei Schwächen in der Cloud-Sicherheit aus, insbesondere bei Unternehmen, die ihre Umgebungsvariablen offenlegen, Anmeldeinformationen nicht regelmäßig aktualisieren und bei der Rechtevergabe schlampig agieren. Diese Firmen sahen sich schließlich mit Lösegeldforderungen konfrontiert, nachdem ihre Daten in S3-Buckets durch eine Erpressernachricht ausgetauscht wurden.
Die Angreifer durchsuchten dabei ungesicherte Webanwendungen gezielt nach .env-Dateien, die Identitäts- und Zugriffsmanagement-Schlüssel (IAM) offenlegten. Nachdem sie diese Schlüssel erlangt hatten, führten sie API-Aufrufe durch, um die Identität zu bestätigen und Benutzer sowie S3-Buckets innerhalb des AWS-Kontos zu ermitteln. Zwar hatten die erlangten Schlüssel nicht die gewünschten Administratorrechte, dennoch konnten die Angreifer neue IAM-Rollen erstellen und diese mit Administratorrechten versehen, um ihre Privilegien zu erweitern.
Im Rahmen ihrer Angriffe schufen die Kriminellen eine IAM-Rolle namens "lambda-ex" und nutzten diese, um AWS-Lambda-Funktionen zu erstellen, mit denen sie automatisierte Scans durchführten. Obwohl der Aufbau einer EC2-Infrastruktur zunächst fehlschlug, gelang es ihnen schließlich, mithilfe dieser Lambda-Funktionen weitere Ziele zu identifizieren und anzugreifen.
Amazon will nicht schuld sein
AWS reagierte auf den Bericht Cybles und stellte klar, dass seine eigenen Dienste und Infrastrukturen nicht betroffen seien. Die Probleme seien auf schlecht konfigurierte Webanwendungen zurückzuführen, die öffentlichen Zugriff auf .env-Dateien ermöglichten. AWS betonte, dass solche Dateien niemals öffentlich zugänglich sein sollten und es Ressourcen zur Verfügung stellt, um Webanwendungen sicher zu gestalten.
Zusammenfassung
- Erpresserbanden wenden sich neuen Märkten wie Cloud-Instanzen zu
- Cyble analysierte Kampagne, die AWS-Umgebungsdateien angreift
- Rund 110000 Domains wurden von Angreifern ins Visier genommen
- Angreifer nutzen Schwächen in Cloud-Sicherheit aus
- Erpressernachrichten in S3-Buckets nach Datenzugriff
- Kriminelle erstellten neue IAM-Rollen mit Administratorrechten
- AWS betont, dass eigene Dienste nicht betroffen sind
Siehe auch:
Thema:
Amazons Aktienkurs in Euro
Videos zum Thema Amazon
-
Magcubic HY300F: Ballförmiger Beamer ist für den WM-Spaß ungeeignet
-
Wanbo Togo Pro: Gimbal-Beamer für Urlaub und Co. im Test
-
Ctone Matrix Mini M2: Mini-PC mit viel Speicher fürs Geld im Test
-
Forza Horizon 6: Fehlermeldung beim ersten Start - Was nun zu tun ist
-
Klein, günstig aber mit Schwächen: Magcubic Mini-Beamer im Test
Beiträge aus dem Forum
Interessante Links
Neue Nachrichten
- The Witcher: CD Projekt plant angeblich neues Multiplayer-Spiel
- Forscher bauen aus alten Handys erstaunlich leistungsstarke Server
- Xbox-Exodus: Chef von Microsofts Spielestudios geht
- Galaxy A27: Samsung leakt sein neues Jedermann-Smartphone selbst
- Spiele als Dauerwerbesendung: EA plant Reklame 'direkt im Gameplay'
- Nutzen umstritten, UK bannt dennoch Social Media für Unter-16-Jährige
- Fox kauft Roku: Neuer Streaming-Gigant für 22 Milliarden Dollar
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon