(Info) Kunden des Amazon Simple Storage Service S3 Dienstes im Visier von Kriminellen

Internetbetrüger nutzen zahlreiche Methoden, um ihre Opfer zu schädigen. Besonders häufig geraten Betroffene durch verdächtige Links oder Formulare in sogenannte Phishing-Fallen. Es fällt vielen Verbrauchern schwer, solche Betrugsversuche zu erkennen. Experten warnen nun vor einer besonders aggressiven Vorgehensweise, mit der Kriminelle Geld von ihren Opfern erpressen. Im Fokus stehen dabei Kunden eines Amazon-Dienstes.

Aktuell verschlüsseln Cyberkriminelle sogenannte Amazon S3-Buckets, wodurch die Besitzer den Zugriff auf ihre Daten verlieren. Um den Zugang wiederherzustellen, verlangen die Täter Lösegeld. Immer wieder versuchen Betrüger, auf die Daten von Amazon-Kunden zuzugreifen.

Warnung vor Erpressung bei Amazon S3-Buckets

Der Amazon S3-Bucket-Dienst ist ein Objektspeicher von Amazon Web Services (AWS), der das Speichern und Abrufen großer Datenmengen von unterschiedlichen Standorten ermöglicht. Laut Amazon zeichnet sich der Dienst durch „branchenführende Skalierbarkeit, Datenverfügbarkeit, Sicherheit und Leistung“ aus.

Das Sicherheitsunternehmen Halcyon hat eine Schadsoftware namens „Codefinger“ entdeckt, die gezielt den Zugriff auf Daten verhindert. Kriminelle nutzen gestohlene Zugangsdaten, um sogenannte SSE-C-Schlüssel der Kunden zu entwenden.

So funktioniert die Verschlüsselung bei Amazon S3

Beim Hochladen von Objekten nutzt Amazon S3 einen vom Kunden bereitgestellten Verschlüsselungsschlüssel, um die Daten mittels AES-256 zu verschlüsseln. Nach der Verschlüsselung wird der Schlüssel aus dem Speicher entfernt. Beim Abrufen der Daten muss derselbe Schlüssel erneut angegeben werden. Erst nach Überprüfung des Schlüssels entschlüsselt Amazon S3 die Objekte und gibt die Daten zurück.

Die SSE-C-Schlüssel werden von den Kunden bereitgestellt und dienen der serverseitigen Verschlüsselung, die laut Amazon zum Schutz ruhender Daten eingesetzt wird. Ohne diesen Schlüssel bleibt der Zugriff auf die Daten unmöglich.

Mindestens zwei Vorfälle mit gestohlenen Schlüsseln

Halcyon berichtet von mindestens zwei Vorfällen, bei denen diese Sicherheitsschlüssel gestohlen wurden. Den betroffenen Kunden wurde der Zugriff auf ihre gespeicherten Daten verweigert, während die Täter in den Speicherorten eine automatische Löschrichtlinie mit einer Frist von sieben Tagen hinterlegten und Lösegeld in Bitcoin forderten.

Halcyon hat die entdeckten Sicherheitslücken an Amazon weitergeleitet. Amazon Web Services fordert seine Nutzer auf, die Sicherheitsrichtlinien konsequent zu befolgen. Dazu gehören das Deaktivieren ungenutzter Schlüssel, der regelmäßige Austausch aktiver Schlüssel und die Minimierung von Zugriffsrechten.