Cyberkriminelle haben begonnen, legitime AWS S3-Funktionen auszunutzen, um Opfer-Buckets auf eine einzigartige Art und Weise zu verschlüsseln. Forscher von Halycon haben kürzlich mehrere Opfer beobachtet, allesamt AWS-eigene Softwareentwickler, die auf diese Weise angegriffen wurden. Bei dem Angriff, den die Gruppe Codefinger getauft hat, griffen sie über öffentlich zugängliche oder anderweitig kompromittierte AWS-Schlüssel mit Lese- und Schreibberechtigungen auf die Cloud-Speicherbuckets ihrer Opfer zu. Nachdem sie auf die Buckets zugegriffen hatten, verschlüsselten sie die Dateien mit AWS-Serverseitenverschlüsselung mit kundeneigenen Schlüsseln (SSE-C).

Doch Codefinger endet hier nicht in seiner Kreativität. Die Gruppe droht nicht damit, die Dateien zu veröffentlichen oder zu löschen. Stattdessen kennzeichnen sie alle verschlüsselten Dateien innerhalb einer Woche für die Löschung, wobei sie auch die nativen AWS S3-Funktionen verwenden. Tim West, Vizepräsident der Dienste des Halcyon RISE-Teams, erklärte, dass dies das erste Mal sei, dass jemand die sichere Verschlüsselungsinfrastruktur von AWS über SSE-C missbraucht habe. Historisch betrachtet werden AWS Identity IAM-Schlüssel ausgelaufen und für Datenraub verwendet, aber wenn dieser Ansatz weit verbreitet akzeptiert wird, könnte dies ein erhebliches systemisches Risiko für Organisationen darstellen, die sich auf AWS S3 zur Speicherung kritischer Daten verlassen.

Halcyon wollte die Opfer nicht nennen und forderte stattdessen AWS-Kunden auf, die Verwendung von SSE-C einzuschränken. Amazon auf der anderen Seite sagte, dass sie tun, was sie können, sobald sie aufgedeckte Schlüssel entdecken, und forderten Kunden auf, bewährte Verfahren in Bezug auf Cybersicherheit einzuhalten.