Mobile-Menu

Malware aus der Cloud, Schwachstellen, DDoS Die Gefahr aus der Cloud

Von Anna Kobylinska, Filipe Martins

Cyber-Täter machen sich überaus gerne Cloud-Dienste zu Nutze – vorzugsweise für lau. Sie lancieren ausgefuchste Attacken gegen die Unternehmens-IT und -OT eines Opfers mit der elastischen Skalierbarkeit der Cloud eines anderen. Die Lage spitzt sich zu.

Anbieter zum Thema

Unternehmen kämpfen noch immer mit den grundlegendsten Aspekten der Sicherheit von ihren genutzten Cloud-Diensten. Das Thema Cloud Security wird wohl noch lange ein Problemfeld bleiben.
Unternehmen kämpfen noch immer mit den grundlegendsten Aspekten der Sicherheit von ihren genutzten Cloud-Diensten. Das Thema Cloud Security wird wohl noch lange ein Problemfeld bleiben.
(© stnazkul - stock.adobe.com)

Sicherheitsforscher von Netskope berichten von einem dramatischen Anstieg des Missbrauchs von Cloud-Diensten für Attacken aus der Cloud. Mehr als die Hälfte aller Malware-Downloads, die Netskope Security Cloud-Plattform im Jahre 2020 blockierte, stammten aus der Cloud. Seither sei der Anteil weiter angestiegen: auf satte 62 Prozent im ersten Quartal 2021 und 68 Prozent im zweiten (die neuesten Zahlen).

Cyberkriminalität liegt den Unternehmen schwer auf der Tasche. Wäre diese Aktivität eine Volkswirtschaft, würde sie hinter den Vereinigten Staaten und China gleich den dritten Platz belegen. Analysten von Cybersecurity Ventures sehen die weltweiten Kosten für Cyberkriminalität bis zum Jahr 2025 im Durchschnitt um 15 Prozent pro Jahr auf 10,5 Billionen US-Dollar steigen (zum Vergleich: im Jahr 2015 hat sie schätzungsweise drei Billionen US-Dollar verschlungen).

Bildergalerie

Das Jahr 2021 war bisher das teuerste. Bis das Jahr schlussendlich ausklingt, rechnet SonicWall mit 714 Millionen versuchten Ransomware-Angriffen, was einem Anstieg von 134 Prozent im Vergleich zum Vorjahr entsprechen soll.

Die zunehmende Verbreitung von Cloud-Bedrohungen begann mit dem Pandemieausbruch, als die Grenze zwischen dem Arbeitsplatz und dem Privatleben verwischte, und der Perimeterschutz der Unternehmens-IT begann, aufzuweichen.

Der Vertrieb von Malware läuft laut Netskope vor allem über Cloud-Anwendungen ab. Das Phänomen des Malware-Vertriebs würde sich demnach zu 66,4 Prozent über Storage-Anwendungen der verschiedenen Cloud-Anbieter abspielen, gefolgt von Kollaborationslösungen und Entwicklungswerkzeugen (einschließlich Chat-Plattformen und Code-Repositories).

Die Zahl der in Unternehmen genutzten Cloud-Apps nimmt inzwischen weiter zu. In der ersten Hälfte des Jahres 2021 stieg sie laut Netskope um 22 Prozent gegenüber dem Vorjahreszeitraum. Damit hat sich das Wachstum nahezu verdoppelt.

Organisationen mit 500 bis 2.000 Mitarbeitern nutzen laut Netskope im Durchschnitt 805 verschiedene Cloud-Apps pro Monat. Bei 97 Prozent von diesen Apps handelt es sich um Anwendungen der sogenannten Schatten-IT, also um Lösungen, welche einzelne Fachabteilungen oder Einzelpersonen auf eigene Faust, an der IT-Abteilung vorbei, in Betrieb nehmen. 48 Prozent dieser Anwendungen hat die niedrigste CCI-Risikobewertung (Cloud Confidence Index) und hätte von den IT-Verantwortlichen niemals grünes Licht bekommen, urteilten die Analysten von Netskope.

Geteilte Freude

Geteilte Freude ist doppelte Freude; geteilte Verantwortung schafft jedoch höchstens doppelt so viele Cyber-Verwundbarkeiten – so auch im Falle der Cloud. Während die Cloud-Anbieter für die Sicherheit ihrer Infrastruktur bereitwillig geradestehen, müssen Cloud-Nutzer die korrekte Konfiguration der Sicherheitseinstellungen einzelner Dienste, Anwendungen und Arbeitslasten hinbekommen und aufrechterhalten. Doch über das ganzheitliche Zusammenspiel der Dienste und Anwendungen auf allen Ebenen des Stacks in der dynamischen Realität des Tagesgeschäfts wacht in der Cloud im Zweifelsfalle niemand.

Fehlkonfigurationen und konzeptionelle Unzulänglichkeiten der Architektur können gravierende Sicherheitslücken eröffnen, die sowohl die betroffenen Cloud-Anbieter und -Nutzer als auch unbeteiligte Dritte in Mitleidenschaft ziehen – zum Beispiel durch DDoS-Attacken gegen die Unternehmens-IT und -OT aus der Cloud.

Cyber-Täter missbrauchen Cloud-Dienste für eine Vielzahl von Aktivitäten, darunter:

  • das Hosting von Malware und Phishing-Seiten bei einem legitimen Cloud-Service: diese Taktik hilft Cyber-Tätern, „unter dem Radar“ zu fliegen, um keinen Verdacht zu erregen, warnen Sicherheitsforscher von Check Point Research;
  • Command-and-Control-Attacken (C2 oder C&C), über Phishing-Touchpoints aus der Cloud heraus lanciert, können die gesamte digitale Infrastruktur eines Unternehmens unter Kontrolle der Cybertäter bringen;
  • DDoS-Attacken gegen IT- und cyberphysische Infrastrukturen: Auch hier bieten Cloud-Dienste den Cybertätern nahezu unbeschränkte Kapazitäten auf Kosten eines ahnungslosen Cloud-Nutzers und zusätzlich die Möglichkeit, bösartige Kommunikation im harmlosen Netzwerkverkehr zu verstecken;
  • Ransomware in der Cloud: Die durchschnittliche Lösegeldzahlung im Jahre 2021 erreichte laut Palo Alto Networks astronomische Cloud-Dimensionen: 865 tausend USD pro Vorfall;
  • Crypto-Mining für lau, finanziert durch einen ahnungslosen Cloud-Nutzer aus dessen kompromittiertem Cloud-Account: So kassieren die Täter garantiert – und garantiert anonym – ab, mit Glück vielleicht sogar unbemerkt.

Zu den Besonderheiten von Public-Cloud-Diensten zählt der hohe Grad der Virtualisierung unter den Betriebsbedingungen geteilter Verantwortung. Er ermöglicht es Cyber-Angreifern, sehr fortgeschrittene Attacken über eine Vielzahl von Angriffsvektoren reproduzierbar durchzuführen. Zahllose Kampagnen wie Xbooster haben es wiederholt unter Beweis gestellt.

Hijacking von Cloud-Migrationen

Während einer Migration von Daten oder Arbeitslasten im Rahmen der Hybrid-Cloud ist das betroffene Unternehmen besonders verwundbar. Insbesondere eine Live-Migration schafft für Angreifer zusätzlichen Spielraum, um die Orchestrierungsebene zu kompromittieren und etwa eine betrügerische, ungewollte Migration abseits der gewollten Richtung auslösen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Netzwerktechnik, IP-Kommunikation und UCC

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Hypercall-Einbrüche

Bei einem Hypercall-Angriff kompromittiert ein Angreifer virtuelle Maschinen (VMs) mithilfe des sogenannten Hypercall-Handlers. Dieser ist Teil des Virtual Machine Managers (VMM) auf jeder Cloud-Maschine in Diensten wie Amazon EC2. Der Angriff gewährt den Cybertätern einen Zugriff auf VMM-spezifische Berechtigungen und ermöglicht ihnen in einigen Fällen die Ausführung von bösartigem Code auf einer kompromittierten VM.

Hyperjacking

Ein Hyperjacking-Angriff ist der Versuch eines Angreifers, mit einem Rootkit auf einer VM die Kontrolle über ihren Hypervisor zu übernehmen. Der Angreifer verschafft sich so einen Zugriff auf den gesamten Host und kann das Verhalten der virtuellen Maschinen verändern, laufende VMs beschädigen und neue VMs für andere böswillige Aktivitäten initialisieren.

DoS durch kompromittierten Hypervisor

Ein Angreifer kann schließlich den Hypervisor infizieren und ausnutzen. Ein Hypervisor steuert die VMs auf einem virtuellen Host. Ein kompromittierter Hypervisor macht sich typischerweise durch einen erhöhten Ressourcenverbrauch bemerkbar.

DDoS aus der Cloud

Mit der wachsenden Verbreitung von Cloud-Diensten haben auch DDoS-Attacken in ihrer Intensität und Dauer zugenommen. Nicht nur bietet die Cloud keinen Schutz vor DDoS, sondern bewährt sich aus Sicht der Täter als ein Instrument der Amplifizierung – auch im Falle von Ransomware-Attacken. Cybertäter missbrauchen zudem Cloud-Dienste legitimer Cloud-Nutzer, um auf deren Kosten Vernichtung bei ihren Opfern zu säen.

Fazit

Viele Unternehmen schlagen sich immer noch mit den vielen Herausforderungen der grundlegenden Beobachtbarkeit ihrer Cloud-Dienste herum. Die Gewährleistung einer lückenlos fehlerfreien Konfiguration von Cloud-Diensten – einschließlich der sicheren Bereitstellung von Fernzugriffen –, die verantwortungsvolle Nutzung von API-Schlüsseln sowie ein ausgeprägtes Bewusstsein um das Potenzial für Hintertüren in App-Ökosystemen von Drittanbietern, dürften auf absehbare Zukunft ein Problemfeld bleiben.

Über die Autoren

Anna Kobylinska und Filipe Pereira Martins arbeiten für McKinley Denali Inc. (USA).

(ID:48079346)