Anzeige

Ransomware

Der tägliche Blick in die Zeitung zeigt: Immer mehr Unternehmen haben mit Ransomware-Angriffen zu kämpfen. Doch wie genau sich Angreifer Zugang zu den Netzwerken verschaffen, darüber herrscht in vielen Fällen immer noch Unklarheit.

Die Sicherheitsforscher von AT&T haben nun einen von ihnen begleiteten Fall detailliert nachgezeichnet. Opfer war ein nicht näher genanntes Lebensmittelunternehmen, das sich dazu entschied, das Lösegeld nicht zu zahlen, sondern das Netzwerk mit Hilfe von Experten wiederherzustellen. Das gelang innerhalb von nur 48 Stunden.

Der Angriff begann mit einer Phishing-Kampagne, in deren Rahmen einem Mitarbeiter des Unternehmens ein Microsoft Word-Dokument zugeschickt wurde. Dieses war als Rechnung getarnt und sollte heruntergeladen werden. Das tat der nichtsahnende Mitarbeiter und setzte damit eine Reihe von Ereignissen in Gang. Zuerst wurde ein PowerShell-Befehl ausgeführt, wodurch der Trojaner Emotet heruntergeladen wurde. Hatte dieser im Netzwerk Fuß gefasst, begann die die Trickbot-Malware damit, Anmeldeinformationen zu Nutzerkonten und Cloud-Diensten auszuspionieren, um so Zugriff auf andere Teile des Netzwerks zu erhalten. Im vorliegenden Fall verschafften sich die Kriminellen durch dieses mehrstufige Vorgehen Zugriff auf mehr als die Hälfte des Unternehmensnetzwerks, bevor sie schließlich im dritten Schritt die Ransomware Ryuk aufspielten.

Das Unternehmen im Fallbeispiel hatte dabei jedoch noch Glück im Unglück: Ryuk kompromittierte nicht das gesamte Netzwerk. Nach rund 60 Prozent war Schluss, nachdem die hinzugezogenen IT-Sicherheitsleute den Angriff eindämmen konnten. Betroffen waren jedoch auch die Bestellabwicklung und die Abrechnung. Trotzdem entschied das Opfer, den Forderungen der Kriminellen nicht nachzugeben und die Sicherheitsexperten ihre Arbeit tun zu lassen. So gelang es, nach nur 48 Stunden einen Großteil der IT-Infrastruktur wieder zum Laufen zu bringen. Entscheidend für diesen glimpflichen Ausgang waren die schnelle Reaktionszeit des Unternehmens sowie die Fähigkeit der Sicherheitsexperten, den Angriff einzudämmen.

In ihrer Fallstudie zeigen die Experten nicht nur den Ablauf eines solchen Angriffs. Mindestens ebenso interessant sind die beschriebenen Sicherheitslücken, die die Kriminellen ausgenutzt haben. Sowohl Emotet als auch Trickbot und Ryuk nutzen Sicherheitslücken, die bereits seit geraumer Zeit bekannt sind und für die es längst Sicherheitspatches gibt. Wären diese eingespielt worden, wäre der Angriff nicht möglich gewesen. Hinzu kommt, dass die im Unternehmen verwendeten Passwörter nicht sicher waren und keine Multi-Faktor-Authentifizierung genutzt wurde. Auch die Deaktivierung von PowerShell-Befehlen für alle Nutzer, die diese nicht zwingend für ihre Arbeit benötigen, hätte dem Angriff zu einem frühen Zeitpunkt einen Riegel vorschieben können. Und zu guter Letzt besteht auch noch die Sicherheitslücke Mensch im Unternehmen, die nur durch Aufklärung über die Gefahren im Netz und regelmäßige Schulungen zu schließen ist.

www.8com.de


Artikel zu diesem Thema

Stuxnet
Jul 17, 2020

Zehn Jahre seit der Entlarvung von Stuxnet

Am 15.07.2020 jährte sich zum zehnten Mal der Tag, an dem die Welt auf die Bedrohung…
Ransomware
Jul 03, 2020

Ransomware: Fünf Tipps, wie Firmen die Schäden erfolgreicher Angriffe stärker eingrenzen können

Cyberkriminelle nehmen aktuell gezielt Firmendaten ins Visier, da sie dort höheres…
Ransomware
Apr 17, 2020

Mit Data Management zum Schutz vor Ransomware-Angriffen

Ransomware-Angriffe sind unter den aktuell größten Cyberbedrohungen nach wie vor an der…

Weitere Artikel

Cyberangriff

Cring-Ransomware nutzt uralte Version von Adobe ColdFusion aus

Vergessene, ungepatchte und veraltete Software bietet ein ideales Einstiegstor für Cyberkriminelle. So auch im aktuellen Fall einer Ransomware-Attacke, die eine 11 Jahre alte Software auf einem Server für sich ausnutzte.
Hacker

Hacker zielen verstärkt auf kritische Infrastrukturen

Kritische Infrastrukturen (KRITIS) sind für das reibungslose Funktionieren unserer Gesellschaft und Wirtschaft unerlässlich. Da diese Strukturen hochsensibel sind, stellen sie für Cyberkriminelle ein ganz besonderes Ziel dar und sie unternehmen große…
Ransomware

Die Ransomware-Krise braucht einen globalen Lösungsansatz

Ransomware hat sich mittlerweile zu einem globalen Problem entwickelt. Cyberkriminelle Gruppen operieren von Ländern aus, die ihnen einen sicheren Unterschlupf bieten und es ihnen ermöglichen, sogar raffinierteste Angriffe zu starten. Um eine Eskalation zu…
Facebook Hacker

Spionagekampagne gegen Kurden durch hinterhältige Facebook-Posts

ESET-Forscher haben eine mobile Spionagekampagne untersucht, die sich gezielt gegen Kurden richtet. Die Operation läuft mindestens seit März 2020 und verbreitet sich über spezielle Facebook-Profile. Hierüber werden zwei Android-Backdoors verteilt, die als 888…
Ransomware

Großteil der Unternehmen zweifelt an eigener Ransomware-Resilienz

Anhaltende Cyberbedrohungen und neue Technologien wie Cloud-native Anwendungen, Kubernetes-Container und Künstliche Intelligenz stellen Unternehmen weltweit bei der Datensicherung vor große Herausforderungen. Das zeigt der Dell Technologies 2021 Global Data…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.