Bitte melden Sie sich an

Registrieren Sie Sich als Premium-Mitglied, um Vorträge herunterzuladen.

  • 100% Rabatt auf alle Club-Events und Kongresse
  • Download der Vortragsunterlagen aller Veranstaltungen
  • Zugriff auf Fotogalerie aller Veranstaltungen
Sie sind noch kein Mitglied?

Dann registrieren Sie sich jetzt:

Jetzt Mitglied werden
Sie sind bereits Mitglied oder waren Teilnehmer?

Bitte loggen Sie sich ein:

Jetzt einloggen
Jetzt Mitglied werden

Incident Response – weil Cyberattacken Realität sind

Nephilim, Ryuk, Trickbot, Emotet und seit neustem Conti fordern die Cybersicherheit heraus. Hohe Sicherheitsmauern reichen schon lange nicht mehr aus, um sich gegen Cyberattacken zu schützen – insbesondere der Finanzsektor ist dabei im Fokus von Cyberkriminellen. Weshalb die Detektion und Reaktion so wichtig ist, zeigen aktuelle Erkenntnisse aus realen Sicherheitsvorfällen bei internationalen Unternehmen.

Von Mathias Fuchs - 22. Juli 2021
Cyberattakcen, Angreifer, Cyberangriff, Cyber Security, Banken, Incident response

Foto: 123rf.com/profile_nexusplexus

ADVERTORIAL

Der „Cyber-Krimi“ begann im Frühjahr 2020 mitten in der Nacht – und das vermeintliche „Game Over“ folgte schon bald. Damals wurde ein bekanntes Schweizer Unternehmen Opfer einer gezielten Cyberattacke mit der Ransomware «NEPHILIM». Dabei wurden nicht nur vertrauliche Daten entwendet und verschlüsselt, sondern gleich das gesamte Netzwerk. Zwar konnten die Daten dank einer guten Backup-Strategie sowie der schnellen und professionellen Reaktion der internen IT-Abteilung rasch wiederhergestellt werden. Für die weitere Analyse und Wiederherstellung des ganzen Betriebs brauchte es jedoch erfahrene Experten, weshalb das CSIRT (Computer Security Incident Response Team) der InfoGuard hinzugezogen wurde.

Phishing als initialer Angriffsvektor

Bei der Analyse des Cyberangriffs konnten die ersten Spuren anhand der anerkannten Cyber Kill Chain nach der eigentlichen Aufklärungs- und Bewaffnungsphase der Hacker aufgedeckt werden. Diese waren auf einen (Spear-)Phishing-Angriff mit einer Emotet-Infektion zurückzuführen, der jedoch schon vor über drei Jahren stattgefunden hatte. Leider ist diese Angriffsform auch heute noch sehr erfolgreich. Eingesetzt wird sie beispielsweise bei vermeintlichen Gewinnspielen, in manipulierten Bewerbungsunterlagen mit Makro-Funktionen oder in gezielten Mails, bei welchen eine bestehende Mailkommunikation aufgezeichnet und darauf reagiert wird.

Erst kürzlich konnte wieder eine Emotet-Angriffswelle beobachtet werden. Dabei hat der neue Threat-Aktor TA542 in den USA sowie in Großbritannien E-Mails verschickt, die im Anhang manipulierte Word-Dokumente oder Links zu entsprechenden Dokumenten enthielten.

Cyberattacken werden minutiös vorbereitet

Durch den Phishing-Angriff konnte die professionelle Hackergruppierung eine Backdoor installieren, wodurch sie einen permanenten Zugang zum Unternehmensnetzwerk erhielten. Oftmals wird bei dieser Methode auch weitere Schadsoftware wie „Trickbot“ nachgeladen. Trickbot klaut primär Login-Daten für privilegierte Domain Admin Accounts – genau wie bei diesem Sicherheitsvorfall. Dadurch erhalten die Angreifer quasi einen Passepartout-Schlüssel für das Zielobjekt und können so jederzeit mit ihrem Command & Control (C2) Server kommunizieren.

Weder das Unternehmen noch der betroffene Administrator hatten eine Chance, die Entwendung des Passworts mit den vorhandenen technischen Mitteln zu bemerken. Im untersuchten Fall konnte die erste Kontaktaufnahme mit dem C2-Server anhand von Firewall-Logs rekonstruiert werden. Diese erfolgte nur wenige Minuten vor der eigentlichen Attacke. Für die C2-Verbindungen wurde das Angriffs-Framework „Cobalt Strike“ eingesetzt.

Ist der Angreifer erst mal im Netz, versucht er weitere Informationen über das Zielnetzwerk zu sammeln. Diese Phase verläuft häufig vollkommen parallel zur Collection-Phase, in welcher der Angreifer Daten für den eigentlichen Angriff, beispielsweise eine Exfiltration, identifiziert und vorbereitet. Dabei verwenden Kriminelle nicht selten bekannte Tools wie „PsExec“ und „wmi“, um sich lateral durch das Netz zu bewegen und gezielt „Bridgeheads“ aufzubauen. Diese nutzen sie, um von dort aus den weiteren Angriff durchzuführen. Nicht selten wird dabei ein noch viel lohnenderes Ziel entdeckt, als das ursprünglich anvisierte. So werden oftmals kleine Unternehmen infiltriert und danach als Sprungbrett zu einem größeren Unternehmen missbraucht.

Die eigentlichen Cyberattacken gehen blitzschnell

Die Entwendung von sensitiven Unternehmensdaten und die Verschlüsselung des Netzwerkserfolgte beim betroffenen Industrieunternehmen sehr schnell. Nur gerade 15 Minuten nach der initialen Kontaktaufnahme mit dem C2-Server, wurden die ersten Daten entwendet. In den darauffolgenden Tagen folgten weitere Files. Damit der Vorgang möglichst unerkannt blieb, handelte es sich jedoch um relativ kleine Datenvolumen.

Der zweite Teil des Angriffs bestand aus der Verschlüsselung von Systemen im gesamten Unternehmensnetzwerk. Die Angreifer wählten dabei vorrangig Server-Systeme aus. Ausgehend von mehreren Domaincontrollern, führten sie eine große Anzahl von .bat-Skripten aus, welche den Transfer der Malware, das Deaktivieren von Sicherheitslösungen und den eigentlichen Verschlüsselungsprozess auf weiteren Servern auslösten. Dies alles geschah zwischen Mitternacht und den frühen Morgenstunden. Was sich wie aus einem Drehbuch für einen Hackerfilm liest, ist leider Realität – und kein Einzelfall.

Lösegeldforderung in Millionenhöhe

Der folgende Arbeitstag begann für die Belegschaft des Unternehmens mit einer großen Überraschung. Weder die Büroarbeitsplätze noch die Produktionsumgebung waren verfügbar. Nun war klar: Das Unternehmen wurde Opfer einer Ransomware-Attacke. Das CSIRT der InfoGuard trat daraufhin mit den Angreifern in Kontakt. Dies einerseits, um die Forderung der Erpresser zu erfahren und anderseits, um die Authentizität der Täterschaft zu verifizieren.

In der Kommunikation ergab sich eine hohe Geldforderung, die in Bitcoins hätte bezahlt werden müssen. Bei Nichtbezahlung drohten die Erpresser mit der Veröffentlichung der Daten. Die Forderung war durchaus ernst zu nehmen, da ein Teil der Daten kurzzeitig im Darknet publiziert wurde.

Vorsorge ist besser als Nachsorge

In solch einer hektischen Lage ist ein verlässlicher, erfahrener Partner unerlässlich. Einerseits fehlt es intern meist an Know-how und Ressourcen, um so eine Situation entsprechend managen zu können. Andererseits gibt es genügend andere Aufgaben, um die man sich kümmern muss. Neben technischen Hürden gilt es, sich auch um die Kunden, Geschäftspartner und nicht zuletzt um die Mitarbeitenden sowie womöglich auch noch um die Öffentlichkeit zu kümmern.

Ein Sicherheitsvorfall ist jedoch ein denkbar ungünstiger Zeitpunkt, um sich nach möglichen Spezialisten umzuschauen. Daher empfiehlt sich, frühzeitig einen geeigneten Partner zu evaluieren und die vertraglichen Details vorab zu klären. Denn ein Sicherheitsvorfall kann jederzeit eintreten.

Gerade in den letzten 12 Monaten hat InfoGuard unzählige Angriffe untersucht, welche auf schlecht gesicherte externe Zugangsdienste wie RDP, Citrix oder VPN zurückzuführen sind. Diese sind üblicherweise nicht mit einer Multi-Faktor-Authentisierung geschützt. Dies erlaubt es Angreifern zum einen Brute-Force-Angriffe durchzuführen und zum anderen sich mit Benutzernamen sowie Passwörtern einzuloggen, die sie zuvor durch Phishing-Angriffe (wie geschildert) auf gefälschten Login-Portalen gestohlen haben. Man schätzt, dass mittlerweile weltweit weit mehr Geld mit Cyberattacken verdient wird, als mit dem Drogenhandel.

Cyber Defence – ein Thema mit vielen Facetten

Leider lassen sich Cyberattacken nie vollständig verhindern. Dabei darf man sich aber nicht nur auf die Abwehr- sprich IT-Sicherheitsmaßnahmen fokussieren. Angreifer werden früher oder später immer einen Weg finden. Deshalb sind die rasche Erkennung und Reaktion so wichtig – und zwar rund um die Uhr. Cyber Defence ist entscheidend im Wettlauf gegen Cyberkriminelle.

Mit Hilfe eines CSIRT in einem dedizierten Cyber-Defence-Center und mit den geeigneten Werkzeugen, wie der Endpoint Detection & Response-Lösung von Tanium, lassen sich die Dauer eines Sicherheitsvorfalls und der dadurch verursachten Schaden minimieren sowie der Business Impact drastisch reduzieren.

Da sich die Risikosituation stetig ändert, ist Cyber Security auch keine einmalige Angelegenheit. Es gilt, die aktuelle Bedrohungslage zu beobachten und das Sicherheitsdispositiv kontinuierlich zu verbessern. Eine anspruchsvolle Aufgabe, insbesondere in Zeiten des Fachkräftemangels. Daher empfiehlt es sich, professionelle Unterstützung in Form eines Managed Security Services beizuziehen, um die Cyber Resilience zu stärken sowie den Schutz der Unternehmenswerte zielgerichtet und nachhaltig zu verbessern.

Tipps: Mehr Informationen zum Thema finden Sie hier. Und alle wichtigen Entwicklungen im Bereich Cyber Security für den Finanzsektor möchten wir mit Ihnen auf dem Cybercrime Day am 28.09.2021 diskutieren. Jetzt anmelden!

Mathias Fuchs

InfoGuard AG

Mathias Fuchs ist Head of Investigations & Intelligence bei der InfoGuard AG.

Die InfoGuard AG ist spezialisiert auf umfassende Cyber-Security. Zu den Kompetenzen zählen maßgeschneiderte Dienstleistungen im Bereich der Sicherheitsberatung und Security Audits sowie in der Architektur und Integration führender Netzwerk- und Security-Lösungen. Cloud-, Managed- und Cyber-Defence-Services erbringt der Schweizer Cyber-Security-Experte aus dem ISO 27001 zertifizierten InfoGuard Cyber-Defence-Center in der Schweiz. InfoGuard hat ihren Hauptsitz in Baar/Zug und eine Niederlassung in Bern. Ihre über 150 Sicherheitsexperten sorgen tagtäglich für die Cyber-Security bei Kunden in Deutschland, Österreich und in der Schweiz.

 

Lesen Sie auch

Unternehmen Tripwire Cybercrime

Man muss die eigene Umgebung kennen und Transparenz schaffen

Die durchschnittlichen Kosten von Cybervorfällen sind in den[…]

Dennis Witzmann
Schutz vor Cybercrime

Bonnie und Clyde wären heute Hacker

Ingo Lalla, Vice President Sales bei Myra Security,[…]

Ingo Lalla

Von Bonnie und Clyde zu Cyberscams: So kämpft die Finanzbranche gegen Cyberkriminelle

Beim BANKINGCLUB-Live: Cybercrime-Special drehte sich alles um das[…]

Redaktion

Ausweich- und Verschleierungstaktiken moderner Schadsoftware

Gekommen, um zu bleiben: Moderne Malware tut alles,[…]

Jörg Herrmann
Evasive Malware Meister der Tarnung

Evasive Malware: Meister der Tarnung

Evasive Malware ist darauf ausgelegt, den Security-Systemen eines[…]

Redaktion

Bei BANKINGCLUB-Live wird es speziell

An 24. März 2021 haben wir unser Erfolgsformat[…]

Dennis Witzmann
XM Cyber Assume Breach

Erfahren Sie von XM Cyber, wie Sie die kritischsten Assets Ihres Unternehmens schützen können

Termin: 5. Mai, 10:00 -11:00 Uhr Session: Assume Breach – Angenommen, es kommt zu einem Angriff[…]

Redaktion
Cybercrime

Cyber-Resilienz für den Finanzsektor

Hände hoch – das war einmal. Heute kommen[…]

Jörg Herrmann
Online Banking Cybersecurity mobile Daten

Ist es sicher, mobile Daten für Online-Banking zu verwenden?

Online-Banking ermöglicht den Zugriff auf das eigene Konto[…]

Redaktion
Betrugsprävention, IT-Security, Banken

Banken brauchen jetzt eine ganzheitliche Betrugsprävention

Peter Vahrenhorst vom Landeskriminalamt (LKA) Düsseldorf über die[…]

Peter Vahrenhorst
Rahmenwerk TIBER-EU Ethisches Hacking Bundesbank

Ethisches Hacking schützt vor Angriffen

Dr. Ronny Merkel beschreibt, wie Banken und Versicherer[…]

Ronny Merkel

Infografik: Betrug ohne Grenzen

Banken verzeichnen seit Jahren Rekordschäden durch Betrug und[…]

Redaktion
Wie kann ein Unternehmen sich effektiv gegen DDoS-Attacken schützen? Grafik zum Beitrag

Wenn Anwendungen in IT-Systemen regelrecht „bombardiert“ werden

Lars Meinecke beschreibt, wie man mit Cloud-Lösungen von[…]

Lars Meinecke