ADVERTORIAL
Der „Cyber-Krimi“ begann im Frühjahr 2020 mitten in der Nacht – und das vermeintliche „Game Over“ folgte schon bald. Damals wurde ein bekanntes Schweizer Unternehmen Opfer einer gezielten Cyberattacke mit der Ransomware «NEPHILIM». Dabei wurden nicht nur vertrauliche Daten entwendet und verschlüsselt, sondern gleich das gesamte Netzwerk. Zwar konnten die Daten dank einer guten Backup-Strategie sowie der schnellen und professionellen Reaktion der internen IT-Abteilung rasch wiederhergestellt werden. Für die weitere Analyse und Wiederherstellung des ganzen Betriebs brauchte es jedoch erfahrene Experten, weshalb das CSIRT (Computer Security Incident Response Team) der InfoGuard hinzugezogen wurde.
Phishing als initialer Angriffsvektor
Bei der Analyse des Cyberangriffs konnten die ersten Spuren anhand der anerkannten Cyber Kill Chain nach der eigentlichen Aufklärungs- und Bewaffnungsphase der Hacker aufgedeckt werden. Diese waren auf einen (Spear-)Phishing-Angriff mit einer Emotet-Infektion zurückzuführen, der jedoch schon vor über drei Jahren stattgefunden hatte. Leider ist diese Angriffsform auch heute noch sehr erfolgreich. Eingesetzt wird sie beispielsweise bei vermeintlichen Gewinnspielen, in manipulierten Bewerbungsunterlagen mit Makro-Funktionen oder in gezielten Mails, bei welchen eine bestehende Mailkommunikation aufgezeichnet und darauf reagiert wird.
Erst kürzlich konnte wieder eine Emotet-Angriffswelle beobachtet werden. Dabei hat der neue Threat-Aktor TA542 in den USA sowie in Großbritannien E-Mails verschickt, die im Anhang manipulierte Word-Dokumente oder Links zu entsprechenden Dokumenten enthielten.
Cyberattacken werden minutiös vorbereitet
Durch den Phishing-Angriff konnte die professionelle Hackergruppierung eine Backdoor installieren, wodurch sie einen permanenten Zugang zum Unternehmensnetzwerk erhielten. Oftmals wird bei dieser Methode auch weitere Schadsoftware wie „Trickbot“ nachgeladen. Trickbot klaut primär Login-Daten für privilegierte Domain Admin Accounts – genau wie bei diesem Sicherheitsvorfall. Dadurch erhalten die Angreifer quasi einen Passepartout-Schlüssel für das Zielobjekt und können so jederzeit mit ihrem Command & Control (C2) Server kommunizieren.
Weder das Unternehmen noch der betroffene Administrator hatten eine Chance, die Entwendung des Passworts mit den vorhandenen technischen Mitteln zu bemerken. Im untersuchten Fall konnte die erste Kontaktaufnahme mit dem C2-Server anhand von Firewall-Logs rekonstruiert werden. Diese erfolgte nur wenige Minuten vor der eigentlichen Attacke. Für die C2-Verbindungen wurde das Angriffs-Framework „Cobalt Strike“ eingesetzt.
Ist der Angreifer erst mal im Netz, versucht er weitere Informationen über das Zielnetzwerk zu sammeln. Diese Phase verläuft häufig vollkommen parallel zur Collection-Phase, in welcher der Angreifer Daten für den eigentlichen Angriff, beispielsweise eine Exfiltration, identifiziert und vorbereitet. Dabei verwenden Kriminelle nicht selten bekannte Tools wie „PsExec“ und „wmi“, um sich lateral durch das Netz zu bewegen und gezielt „Bridgeheads“ aufzubauen. Diese nutzen sie, um von dort aus den weiteren Angriff durchzuführen. Nicht selten wird dabei ein noch viel lohnenderes Ziel entdeckt, als das ursprünglich anvisierte. So werden oftmals kleine Unternehmen infiltriert und danach als Sprungbrett zu einem größeren Unternehmen missbraucht.
Die eigentlichen Cyberattacken gehen blitzschnell
Die Entwendung von sensitiven Unternehmensdaten und die Verschlüsselung des Netzwerkserfolgte beim betroffenen Industrieunternehmen sehr schnell. Nur gerade 15 Minuten nach der initialen Kontaktaufnahme mit dem C2-Server, wurden die ersten Daten entwendet. In den darauffolgenden Tagen folgten weitere Files. Damit der Vorgang möglichst unerkannt blieb, handelte es sich jedoch um relativ kleine Datenvolumen.
Der zweite Teil des Angriffs bestand aus der Verschlüsselung von Systemen im gesamten Unternehmensnetzwerk. Die Angreifer wählten dabei vorrangig Server-Systeme aus. Ausgehend von mehreren Domaincontrollern, führten sie eine große Anzahl von .bat-Skripten aus, welche den Transfer der Malware, das Deaktivieren von Sicherheitslösungen und den eigentlichen Verschlüsselungsprozess auf weiteren Servern auslösten. Dies alles geschah zwischen Mitternacht und den frühen Morgenstunden. Was sich wie aus einem Drehbuch für einen Hackerfilm liest, ist leider Realität – und kein Einzelfall.
Lösegeldforderung in Millionenhöhe
Der folgende Arbeitstag begann für die Belegschaft des Unternehmens mit einer großen Überraschung. Weder die Büroarbeitsplätze noch die Produktionsumgebung waren verfügbar. Nun war klar: Das Unternehmen wurde Opfer einer Ransomware-Attacke. Das CSIRT der InfoGuard trat daraufhin mit den Angreifern in Kontakt. Dies einerseits, um die Forderung der Erpresser zu erfahren und anderseits, um die Authentizität der Täterschaft zu verifizieren.
In der Kommunikation ergab sich eine hohe Geldforderung, die in Bitcoins hätte bezahlt werden müssen. Bei Nichtbezahlung drohten die Erpresser mit der Veröffentlichung der Daten. Die Forderung war durchaus ernst zu nehmen, da ein Teil der Daten kurzzeitig im Darknet publiziert wurde.
Vorsorge ist besser als Nachsorge
In solch einer hektischen Lage ist ein verlässlicher, erfahrener Partner unerlässlich. Einerseits fehlt es intern meist an Know-how und Ressourcen, um so eine Situation entsprechend managen zu können. Andererseits gibt es genügend andere Aufgaben, um die man sich kümmern muss. Neben technischen Hürden gilt es, sich auch um die Kunden, Geschäftspartner und nicht zuletzt um die Mitarbeitenden sowie womöglich auch noch um die Öffentlichkeit zu kümmern.
Ein Sicherheitsvorfall ist jedoch ein denkbar ungünstiger Zeitpunkt, um sich nach möglichen Spezialisten umzuschauen. Daher empfiehlt sich, frühzeitig einen geeigneten Partner zu evaluieren und die vertraglichen Details vorab zu klären. Denn ein Sicherheitsvorfall kann jederzeit eintreten.
Gerade in den letzten 12 Monaten hat InfoGuard unzählige Angriffe untersucht, welche auf schlecht gesicherte externe Zugangsdienste wie RDP, Citrix oder VPN zurückzuführen sind. Diese sind üblicherweise nicht mit einer Multi-Faktor-Authentisierung geschützt. Dies erlaubt es Angreifern zum einen Brute-Force-Angriffe durchzuführen und zum anderen sich mit Benutzernamen sowie Passwörtern einzuloggen, die sie zuvor durch Phishing-Angriffe (wie geschildert) auf gefälschten Login-Portalen gestohlen haben. Man schätzt, dass mittlerweile weltweit weit mehr Geld mit Cyberattacken verdient wird, als mit dem Drogenhandel.
Cyber Defence – ein Thema mit vielen Facetten
Leider lassen sich Cyberattacken nie vollständig verhindern. Dabei darf man sich aber nicht nur auf die Abwehr- sprich IT-Sicherheitsmaßnahmen fokussieren. Angreifer werden früher oder später immer einen Weg finden. Deshalb sind die rasche Erkennung und Reaktion so wichtig – und zwar rund um die Uhr. Cyber Defence ist entscheidend im Wettlauf gegen Cyberkriminelle.
Mit Hilfe eines CSIRT in einem dedizierten Cyber-Defence-Center und mit den geeigneten Werkzeugen, wie der Endpoint Detection & Response-Lösung von Tanium, lassen sich die Dauer eines Sicherheitsvorfalls und der dadurch verursachten Schaden minimieren sowie der Business Impact drastisch reduzieren.
Da sich die Risikosituation stetig ändert, ist Cyber Security auch keine einmalige Angelegenheit. Es gilt, die aktuelle Bedrohungslage zu beobachten und das Sicherheitsdispositiv kontinuierlich zu verbessern. Eine anspruchsvolle Aufgabe, insbesondere in Zeiten des Fachkräftemangels. Daher empfiehlt es sich, professionelle Unterstützung in Form eines Managed Security Services beizuziehen, um die Cyber Resilience zu stärken sowie den Schutz der Unternehmenswerte zielgerichtet und nachhaltig zu verbessern.
Tipps: Mehr Informationen zum Thema finden Sie hier. Und alle wichtigen Entwicklungen im Bereich Cyber Security für den Finanzsektor möchten wir mit Ihnen auf dem Cybercrime Day am 28.09.2021 diskutieren. Jetzt anmelden!
