Ransomware-Bande missbraucht native AWS-Verschlüsselung
2025-01-14
Eine neue Ransomware-Gruppe namens 'Codefinger' zielt auf AWS S3-Buckets ab und nutzt die serverseitige Verschlüsselung des Cloud-Giganten mit kundenseitig bereitgestellten Schlüsseln (SSE-C), um die Daten der Opfer zu sperren. Sie verwenden gestohlene AWS-Schlüssel, um Dateien mit AES-256 zu verschlüsseln und einen Selbstlösch-Timer von 7 Tagen einzustellen. Dieser einzigartige Ansatz nutzt die eigenen Sicherheitsmechanismen von AWS aus, wodurch die Datenwiederherstellung ohne den Schlüssel des Angreifers schwierig wird. Sicherheitsexperten empfehlen, die Verwendung von SSE-C einzuschränken, AWS-Schlüssel regelmäßig zu prüfen und das Prinzip der geringsten Rechte anzuwenden, um Risiken zu mindern.