- Versionierung deaktiviert (alte Versionen können nicht wiederhergestellt werden),
- Objekt-Sperre deaktiviert (Dateien lassen sich überschreiben oder löschen),
- weitreichende Schreibberechtigungen (durch falsch konfigurierte IAM-Richtlinien oder durchgesickerte Anmeldedaten), und
- hochwertige Daten (Backup-Dateien, Produktionskonfigurations-Dumps).
Sobald sie sich Zugang verschafft haben, versuchen die Angreifer, eine „vollständige und irreversible Sperrung” der Daten zu erzwingen. Dazu können sie Objekte mit für das Opfer unzugänglichen Keys verschlüsseln, Backups löschen und die Löschung von Schlüsseln planen, damit AWS und der Kunde die Daten nicht wiederherstellen können.
Cloud-Verschlüsselung und Schlüsselverwaltung als Waffe
Trend Micro hat fünf S3-Ransomware-Varianten identifiziert, die zunehmend die in AWS integrierten Verschlüsselungspfade ausnutzen. Eine Variante missbraucht die standardmäßigen, von AWS verwalteten KMS-Schlüssel (SSE-KMS), indem sie Daten mit einem vom Angreifer erstellten Schlüssel verschlüsselt und diesen Schlüssel zur Löschung vormerkt. Eine andere Variante verwendet vom Kunden bereitgestellte Schlüssel (SSE-C), von denen AWS keine Kopie hat, sodass eine Wiederherstellung unmöglich ist. Die dritte Variante exfiltriert S3-Bucket-Daten (ohne Versionierung) und löscht die Originale.
Die letzten beiden Varianten dringen tiefer in die Key-Management-Infrastruktur ein[MB2]. Eine stützt sich auf importiertes Schlüsselmaterial (Bring your own key – BYOK), wodurch Angreifer Daten verschlüsseln und anschließend die importierten Schlüssel zerstören oder ungültig machen können. Die andere missbraucht den External Key Store (XKS) von AWS, bei dem Schlüsseloperationen außerhalb von AWS stattfinden. Das bedeutet, dass weder der Kunde noch AWS den Zugriff wiederherstellen können, wenn Angreifer die externe Schlüsselquelle kontrollieren. Zusammengenommen zeigen diese Techniken, dass Angreifer AWS selbst als Verschlüsselungsmechanismus nutzen.