Eine aktuelle Ransomware-Attacke auf Kunden des Amazon Web Service (AWS) sorgt für Alarmbereitschaft in der Cybersecurity-Community. Die Schadsoftware, die das Sicherheitsunternehmen Halcyon als „Codefinger“ identifiziert hat, verschlüsselt gezielt Daten und fordert von den Opfern Lösegeld, um den Zugang zu ihren Informationen wiederherzustellen. Betroffene Nutzer berichten, dass sie ohne Zahlung des Lösegeldes in Bitcoin nicht auf ihre Daten zugreifen können. Diese Masche betrifft insbesondere Kunden, die die serverseitige Verschlüsselung mit von den Kunden bereitgestellten Schlüsseln (SSE-C) nutzen.

Anwender der AWS-Dienste sollten sich bewusst sein, dass ihre Zugangsdaten gezielt ausspioniert und gestohlen werden, um die notwendigen SSE-C-Schlüssel zu entwenden. Diese Schlüssel sind entscheidend für den Schutz ihrer ruhenden Daten, und ohne sie bleibt der Zugriff auf alle Dateien versperrt. Halcyon hat bereits von mindestens zwei Vorfällen mit gestohlenen Sicherheitsschlüsseln berichtet, die zu einem erheblichen Datenverlust bei den Nutzern geführt haben.

Die Funktionsweise von Codefinger

Die Ransomware „Codefinger“ stellt einen bedeutenden Fortschritt in der Komplexität von Cyberangriffen dar. Anders als viele andere Schadsoftware nutzt sie nicht die Schwachstellen von AWS selbst, sondern setzt auf die Kompromittierung der Zugangsdaten von AWS-Kunden. Die Angreifer identifizieren anfällige AWS-Schlüssel, verschlüsseln die Dateien mit einem lokal generierten AES-256-Schlüssel und hinterlegen Ransom-Notizen in den betroffenen Verzeichnissen. Dabei setzen sie Löschrichtlinien für die Dateien in Kraft, die ein drängendes Gefühl erzeugen, um das Lösegeld möglichst schnell zu zahlen.

Die Bedrohung durch Codefinger hat Sicherheitsexperten dazu veranlasst, sofortige Maßnahmen zu empfehlen. Amazon Web Services mahnt seine Kunden zur Einhaltung bewährter Sicherheitspraktiken, darunter die regelmäßige Überprüfung und den Austausch von Sicherheitsschlüsseln sowie das Minimieren von Zugriffsrechten. Es wird geraten, inaktive Sicherheitsschlüssel zu deaktivieren, um weiteren Sicherheitsrisiken vorzubeugen.

Blick auf die Cybersecurity-Landschaft

Zusätzlich zu den Vorfällen rund um Codefinger werfen aktuelle Berichte einen breiteren Blick auf die Cybersicherheitslandschaft. Im Jahr 2024 wurden weltweit 5.233 Ransomware-Fälle in 153 Ländern registriert. Die Vereinigten Staaten waren die am stärksten betroffene Nation, gefolgt von Kanada, dem Vereinigten Königreich und Deutschland. Besondere Aufmerksamkeit erregen auch die Sektoren Business Services und Gesundheitswesen, die als Hauptziele für Angriffe identifiziert wurden.

Die steigende Zahl von Ransomware-Angriffen hat zu Diskussionen über die Legalität von Lösegeldzahlungen geführt. In Großbritannien plant die Regierung, Zahlungen an Ransomware-Gangs für bestimmte Opfer illegal zu machen. Experten warnen, dass dies die Optionen für Unternehmen und Organisationen erheblich einschränken könnte, die sich in einer schwierigen Lage befinden. Zahlungen garantieren oft nicht die Wiederherstellung der Daten und führen möglicherweise zu weiteren Angriffen.

Zusammenfassend bleibt festzuhalten, dass Unternehmen sich proaktiv gegen Ransomware schützen müssen. Die Einhaltung strenger Sicherheitsmaßnahmen und kontinuierliche Schulungen für Mitarbeiter sind essentiell, um die Bedrohung durch Cybercrime zu reduzieren und im Ernstfall handlungsfähig zu bleiben.

Amazon Web Services hat bereits darauf reagiert, indem es Berichte über exponierte Schlüssel untersucht und betroffene Kunden benachrichtigt hat, um die Sicherheit der Plattform zu gewährleisten. Die aktuelle Situation unterstreicht die Dringlichkeit effektiver Cybersecurity-Strategien in einer Zeit, in der Ransomware-Gruppen zunehmend sophisticated vorgehen.