SANS warnt: Ransomware nutzt Cloud-Sicherheitsfunktionen gegen Unternehmen
Eine neue Welle von Ransomware-Angriffen nutzt gezielt Sicherheitsfunktionen in Public-Cloud-Umgebungen, warnt das SANS Institute. Laut dem aktuellen Cloud Threat Report von Palo Alto Networks' Unit 42 enthalten 66 Prozent der Cloud-Speicher-Buckets sensible Daten – ein attraktives Ziel für Cyberkriminelle.
Angreifer nutzen dabei Standardfunktionen von AWS & Co. als Einfallstor: Die Verschlüsselung wird über erlaubte Mechanismen wie AWS S3 SSE-C oder KMS mit externem Schlüsselmaterial durchgeführt. „Ich habe in den letzten Monaten zwei Angriffe gesehen, die ausschließlich über legitime Cloud-Sicherheitsfunktionen abliefen“, so Brandon Evans, SANS-Instructor. Skripte, die von ChatGPT generiert wurden, erleichterten die Umsetzung zusätzlich.
Fallbeispiel: Angriff über Amazon S3 SSE-C
Das Unternehmen Halcyon berichtete von einer Angriffskampagne, bei der eine native Verschlüsselungsfunktion von Amazon S3, SSE-C (Server-Side Encryption with Customer-Provided Keys), dazu genutzt wurde, um gezielt alle Speicher-Buckets eines Opfers zu verschlüsseln. Einige Monate zuvor demonstrierte der Sicherheitsberater Chris Farris, wie Angreifer mit einer anderen AWS-Sicherheitsfunktion – KMS-Schlüssel mit externem Schlüsselmaterial – ähnliche Angriffe durchführen können. Dabei kamen einfache, von ChatGPT generierte Skripte zum Einsatz.
„Offensichtlich ist dieses Thema sowohl für Angreifer als auch für Sicherheitsexperten von zentralem Interesse“, so Evans.
SANS-Empfehlungen: Cloud-Sicherheit braucht Kontext
- Möglichkeiten und Grenzen der Cloud-Sicherheitsfunktionen verstehen: Die Nutzung von Cloud-Diensten bedeutet nicht automatisch, dass Daten sicher sind. „Die ersten Cloud-Dienste, die viele nutzen, sind Backup-Lösungen wie OneDrive, Dropbox oder iCloud“, erklärt Evans. „Diese bieten meist standardmäßig Wiederherstellungsfunktionen – bei Amazon S3, Azure Storage oder Google Cloud Storage ist das jedoch nicht der Fall. Wer Cloud-Sicherheit verantwortet, muss genau wissen, wie diese Dienste funktionieren – und darf sich nicht auf vermeintlichen Schutz verlassen.“
- Nicht vom Cloud-Service unterstützte Verschlüsselungsmethoden blockieren: Verschlüsselungsverfahren wie AWS S3 SSE-C oder AWS KMS mit externem Schlüsselmaterial können missbraucht werden, da der Angreifer die Schlüssel vollständig kontrolliert. Über Identity and Access Management (IAM) lassen sich Vorgaben durchsetzen, zum Beispiel die Nutzung von SSE-KMS mit in AWS gehostetem Schlüsselmaterial.
- Backups, Objektversionierung und Objektsperren aktivieren: Diese Funktionen erhöhen die Integrität und Verfügbarkeit von Daten, sind aber bei keinem der drei großen Cloud-Anbieter standardmäßig aktiviert. Richtig eingesetzt, verbessern sie die Chancen, Daten nach einem Ransomware-Angriff wiederherzustellen.
- Sicherheitsfunktionen mit Kosten im Blick nutzen: „Cloud-Anbieter speichern Versionen und Backups nicht kostenlos – und Ihr Unternehmen wird Ihnen kein unbegrenztes Budget für Datensicherheit geben“, so Brandon. Alle großen Cloud-Anbieter ermöglichen es, Lebenszyklusrichtlinien zu definieren, die etwa alte Datenversionen oder Backups automatisch löschen. Aber Vorsicht: Auch Angreifer nutzen solche Richtlinien gezielt aus – etwa um mit automatisierten Löschvorgängen den Druck auf ihre Opfer zu erhöhen und schnelle Lösegeldzahlungen zu erzwingen.
Fazit
Die Illusion, dass Public-Cloud-Nutzung automatisch vor Ransomware schützt, ist trügerisch. Wer Cloud-Infrastrukturen verantwortet, muss nicht nur Funktionen aktivieren – sondern sie auch wirklich verstehen.