Eine aktuelle Angriffswelle hat gezeigt, wie verwundbar Cloud-Umgebungen sein können. Eine Gruppe von Cyberkriminellen, die zuvor für Ransomware-Angriffe auf On-Premises-Netzwerke bekannt war, hat ihren Fokus vollständig auf die Cloud verlagert. Ihr Vorgehen ist kalkuliert: Zunächst werden sämtliche Dateien aus der Cloud-Umgebung exfiltriert, anschließend werden Daten und Backups systematisch gelöscht. Erst danach fordern die Angreifer Lösegeld für die Rückgabe der Daten.
Um Zugriff zu erhalten, legen die Täter eine gefälschte Domain innerhalb von Microsoft Entra ID an. Damit können sie sich praktisch als jeder beliebige Benutzer anmelden. Einmal eingedrungen, kartieren sie gezielt sensible Datenspeicher und Backup-Standorte wie Azure Blob Storage. Nach dem Herunterladen der Daten löschen sie sämtliche Speicher- und Backup-Systeme. Falls bestimmte Ressourcen geschützt sind, wechseln sie zur Verschlüsselung von Dateien und versuchen, die zugehörigen Schlüssel zu löschen. In seltenen Fällen verhindern Unveränderlichkeits- und Soft-Delete-Einstellungen den Verlust – der Schaden bleibt jedoch meist erheblich.
Wie funktioniert diese Cloud-Ransomware?
Die Taktiken dieser Gruppe unterscheiden sich deutlich von klassischer Ransomware. Charakteristisch sind:
- Verlagerung in die Cloud: Anstatt einzelne Endpunkte zu verschlüsseln, exfiltrieren die Angreifer große Datenmengen über Cloud-Dienste und zerstören Backups. Klassische Schadsoftware kommt nicht zum Einsatz – der Druck entsteht durch den drohenden irreversiblen Datenverlust.
- Hintertür über föderierte Domain: Durch Hinzufügen einer bösartigen Domain zum Entra-ID-Tenant und den Einsatz selbstsignierter Zertifikate stellen die Angreifer SAML-Tokens aus und geben sich nahezu beliebig als Benutzer aus.
- Missbrauch von Berechtigungen: Nach der Anmeldung eskalieren die Täter ihre Rechte mit einem einzigen API-Call, indem sie sich die Rolle „User Access Administrator“ zuweisen und anschließend zu „Owner“ aller Azure-Subscriptions aufsteigen – mit vollständigem Zugriff.
- Massenlöschung und Verschlüsselung: Nachdem die Daten kopiert wurden, nutzen sie Standard-Azure-APIs, um Snapshots, Wiederherstellungspunkte und Speicherkonten zu löschen. Sind Ressourcen geschützt, werden Sperren und Richtlinien entfernt. Danach wird ein neuer Key Vault erstellt, gesteuert durch den Angreifer, um verbliebene Speicher zu verschlüsseln.
Ein einziges unsicheres Konto oder ein vergessener Server reicht aus, um diese Angriffskette auszulösen. Die Kombination aus tiefem Cloud-Wissen und dem Missbrauch legitimer Funktionen macht solche Angriffe schwer erkennbar.
Wichtige Aspekte für Ihre Cloud-Sicherheit
Dieses sich entwickelnde Angriffsmodell erfordert eine mehrschichtige Reaktion. DataExpert empfiehlt:
- Multi-Faktor-Authentifizierung (MFA) erzwingen: MFA muss für alle Konten und Admin-Portale verpflichtend sein. In den untersuchten Fällen ermöglichte ein einziges Konto ohne MFA die Eskalation.
- Kontinuierliches Patching und Updates: Betriebssysteme, VPNs und Cloud-Komponenten stets aktuell halten, um bekannte Schwachstellen zu schließen.
- Prinzip der minimalen Rechte umsetzen: Nutzern und Servicekonten nur die Zugriffe gewähren, die tatsächlich erforderlich sind. Passwort-Resets und Rollenänderungen eng überwachen.
- Unveränderliche Backups erstellen: Sicherstellen, dass Backups nicht verändert oder gelöscht werden können. Offline oder in einem separaten Tenant speichern und Wiederherstellungsprozesse regelmäßig testen.
- Logs und API-Aktivitäten überwachen: Rollenänderungen, Key Vault-Operationen und Speicher-Modifikationen verfolgen. Alarme für unerwartete Rechteerhöhungen oder Massendeletionen einrichten.
- Awareness und Incident Response stärken: Mitarbeitende im Erkennen von Phishing und Social Engineering schulen. Einen erprobten Incident-Response-Plan vorhalten, um im Ernstfall schnell reagieren zu können.
DataExpert SOC Cloud Monitoring
Selbst mit all diesen Maßnahmen bleibt kontinuierliche Überwachung entscheidend. DataExpert betreibt ein Security Operations Center (SOC), das Ihre Systeme und Cloud-Umgebungen rund um die Uhr überwacht. Unsere Analysten erkennen verdächtige Logins, ungewöhnliche API-Aufrufe und Rechteänderungen – und greifen ein, bevor Schaden entsteht.
Wir bieten sektorspezifische Überwachung in folgenden Bereichen:
- Gesundheitswesen: Über das Zorg Detectie Netwerk (ZDN) überwachen wir Bedrohungen gegen Krankenhäuser und Pflegeeinrichtungen und stellen passende Sicherheitsinfrastrukturen bereit.
- Industrie & OT: Mit zunehmender Konvergenz von OT und IT identifizieren wir verwundbare Verbindungen und überwachen kontinuierlich Produktions- und Unternehmenssysteme.
- Logistik: Lieferketten sind anfällig für Störungen. Früherkennung von Bedrohungen verhindert, dass ein einzelner Vorfall die gesamte Kette unterbricht.
- Öffentlicher Sektor: Unser SOC arbeitet mit dem National Cyber Security Centre und Cyberveilig Nederland zusammen. Wir sind mit Rahmenwerken wie BIO und BIG vertraut und überwachen bereits zahlreiche öffentliche Umgebungen.
Durch die Kombination von branchenspezifischer Expertise und moderner Technologie erkennen wir Frühindikatoren von Angriffen wie Storm 0501 – etwa Hintertür-Installation, Rechteeskalation und massenhafte Löschungen – und können rechtzeitig eingreifen.
Wie DataExpert unterstützt
Neben Cloud-Monitoring bietet DataExpert ein umfassendes Portfolio zur Stärkung Ihrer Resilienz:
- Managed Security Awareness Training: Mitarbeitende gegen Phishing und Social Engineering wappnen.
- Incident Response Support: Spezialisten helfen bei Eindämmung, Untersuchung und Wiederherstellung.
- Beratung und Compliance Advisory: Unterstützung bei der Umsetzung von Vorgaben wie NIS2, BIO und BIG sowie Beratung zu Cyber-Strategie und Architektur.
Möchten Sie wissen, wie unser SOC Cloud Monitoring Ihre Organisation gegen die neueste Generation von Cloud-Ransomware schützen kann? Sprechen Sie mit unseren Expertinnen und Experten. Wir bewerten Ihre Risiken und zeigen, wie wir Ihre Cloud-Umgebung absichern können.
