TruffleNet: Cyberkriminelle missbrauchen AWS für Millionenschäden

Eine weitreichende E-Mail-Betrugsoperation namens “TruffleNet” nutzt gestohlene Amazon-Zugangsdaten für großangelegte Finanzbetrügereien. Das enthüllte der Cybersicherheitskonzern Fortinet heute in einem neuen Bericht.

Die hochautomatisierte Business Email Compromise-Kampagne (BEC) zeigt eine neue Dimension im Kampf gegen Cyberkriminalität. Über 800 verschiedene Server in 57 Netzwerken versenden die Betrüger gefälschte E-Mails über Amazons Simple Email Service (SES). Damit erreichen sie ein bisher ungekanntes Ausmaß an Professionalität bei Cloud-basierten Angriffen.

“Kompromittierte Identitäten bleiben eine der drängendsten Bedrohungen für Cloud-Infrastrukturen”, warnen Fortinets FortiGuard-Forscher. Angreifer mit gültigen Zugangsdaten könnten traditionelle Sicherheitskontrollen oft problemlos umgehen. BEC-Betrug gehört weiterhin zu den finanziell schadenreichsten Formen der Cyberkriminalität.

Der TruffleNet-Angriff beginnt mit gestohlenen AWS-Zugangsdaten, die meist durch Phishing oder Malware erbeutet werden. Vor dem eigentlichen Betrug führen die Kriminellen aggressive Aufklärung in den kompromittierten Cloud-Umgebungen durch.

Die Angreifer nutzen verschiedene AWS-Schnittstellen, um verifizierte E-Mail-Domains zu identifizieren und Service-Limits für ihre groß angelegten Betrügereien zu analysieren. Besonders perfide: Sie erstellen neue Benutzerkonten für dauerhaften Zugang.

Eine zentrale Innovation der Kampagne ist der Missbrauch von Portainer – eigentlich ein legitimes Open-Source-Tool zur Verwaltung von Container-Anwendungen. Die Cyberkriminellen zweckentfremdeten Portainer zu einer Kommandozentrale, mit der sie ihre bösartigen Operationen über Hunderte kompromittierte Knoten gleichzeitig steuern können.

Zusätzlich verstärken die Betrüger ihre Täuschung durch Amazon SES. Sie versenden damit gefälschte Unternehmens-E-Mails, die extrem glaubwürdig wirken. In manchen Fällen verwenden sie sogar gestohlene DKIM-Schlüssel von gehackten WordPress-Seiten, um Anti-Spam-Filter zu umgehen.

Millionenschwere Beute: Öl- und Gasbranche im Visier

Das Hauptziel von TruffleNet ist klassischer BEC-Finanzbetrug. Fortinet beobachtete, wie die Infrastruktur für einen gezielten Lieferanten-Betrug in der Öl- und Gasbranche eingesetzt wurde.

In einem dokumentierten Fall gaben sich die Angreifer als das Business-Intelligence-Unternehmen ZoomInfo aus. Sie versendeten gefälschte Rechnungen mit der Aufforderung zur Überweisung von 42.500 Euro per Bankeinzug. Für zusätzliche Glaubwürdigkeit enthielt das beigefügte Steuerformular die echte Arbeitgeber-Identifikationsnummer des realen Unternehmens.

Die Opfer sollten auf eine Typosquatting-Domain antworten – eine Domain, die dem echten Namen täuschend ähnlich sieht, aber von den Betrügern kontrolliert wird.

Anhaltende Milliardenbedrohung für Unternehmen

Business Email Compromise bleibt eine hartnäckige und kostspielige Bedrohung. Eine Umfrage der Association of Financial Professionals von Anfang 2025 ergab: 63 Prozent aller Organisationen waren BEC-Angriffen ausgesetzt.

Die finanziellen Schäden sind verheerend. Das FBI Internet Crime Complaint Center (IC3) meldete für 2024: BEC war das zweitteuerste Cybercrime in den USA mit Verlusten von fast 2,4 Milliarden Euro.

Neue Verteidigungsstrategien gegen Cloud-Missbrauch

Die TruffleNet-Kampagne verdeutlicht: Cyberkriminelle passen ihre Methoden kontinuierlich an neue Technologien an. Der Missbrauch legitimer Cloud-Services stellt Sicherheitsexperten vor erhebliche Herausforderungen.

Experten empfehlen eine mehrschichtige Verteidigungsstrategie:

• Zwei-Faktor-Authentifizierung für alle E-Mail- und Cloud-Konten
• Strenge Verifizierungsprozesse bei Zahlungsanforderungen über bekannte Telefonnummern
• Mitarbeiterschulungen zur Erkennung von Phishing-Versuchen
• Verbot automatischer E-Mail-Weiterleitung an externe Adressen
• Warnbanner für E-Mails von externen Absendern

Anzeige: Übrigens: Phishing und gestohlene Zugangsdaten treffen nicht nur Unternehmen – auch private Android-Smartphones sind ein beliebtes Ziel. Viele Nutzer übersehen 5 einfache Schutzmaßnahmen, die WhatsApp, Online-Banking und PayPal deutlich sicherer machen. Der kostenlose Ratgeber zeigt Schritt für Schritt, wie Sie Ihr Android ohne teure Zusatz-Apps vor Internet-Kriminalität, Datenklau und Schadsoftware schützen. Jetzt kostenloses Android‑Sicherheitspaket anfordern

Da Angreifer ihre Aufklärungsaktivitäten intensivieren, ist eine proaktive Sicherheitskultur die wirksamste Verteidigung gegen die nächste BEC-Angriffswelle.