Anzeige

Ransomware

Der tägliche Blick in die Zeitung zeigt: Immer mehr Unternehmen haben mit Ransomware-Angriffen zu kämpfen. Doch wie genau sich Angreifer Zugang zu den Netzwerken verschaffen, darüber herrscht in vielen Fällen immer noch Unklarheit.

Die Sicherheitsforscher von AT&T haben nun einen von ihnen begleiteten Fall detailliert nachgezeichnet. Opfer war ein nicht näher genanntes Lebensmittelunternehmen, das sich dazu entschied, das Lösegeld nicht zu zahlen, sondern das Netzwerk mit Hilfe von Experten wiederherzustellen. Das gelang innerhalb von nur 48 Stunden.

Der Angriff begann mit einer Phishing-Kampagne, in deren Rahmen einem Mitarbeiter des Unternehmens ein Microsoft Word-Dokument zugeschickt wurde. Dieses war als Rechnung getarnt und sollte heruntergeladen werden. Das tat der nichtsahnende Mitarbeiter und setzte damit eine Reihe von Ereignissen in Gang. Zuerst wurde ein PowerShell-Befehl ausgeführt, wodurch der Trojaner Emotet heruntergeladen wurde. Hatte dieser im Netzwerk Fuß gefasst, begann die die Trickbot-Malware damit, Anmeldeinformationen zu Nutzerkonten und Cloud-Diensten auszuspionieren, um so Zugriff auf andere Teile des Netzwerks zu erhalten. Im vorliegenden Fall verschafften sich die Kriminellen durch dieses mehrstufige Vorgehen Zugriff auf mehr als die Hälfte des Unternehmensnetzwerks, bevor sie schließlich im dritten Schritt die Ransomware Ryuk aufspielten.

Das Unternehmen im Fallbeispiel hatte dabei jedoch noch Glück im Unglück: Ryuk kompromittierte nicht das gesamte Netzwerk. Nach rund 60 Prozent war Schluss, nachdem die hinzugezogenen IT-Sicherheitsleute den Angriff eindämmen konnten. Betroffen waren jedoch auch die Bestellabwicklung und die Abrechnung. Trotzdem entschied das Opfer, den Forderungen der Kriminellen nicht nachzugeben und die Sicherheitsexperten ihre Arbeit tun zu lassen. So gelang es, nach nur 48 Stunden einen Großteil der IT-Infrastruktur wieder zum Laufen zu bringen. Entscheidend für diesen glimpflichen Ausgang waren die schnelle Reaktionszeit des Unternehmens sowie die Fähigkeit der Sicherheitsexperten, den Angriff einzudämmen.

In ihrer Fallstudie zeigen die Experten nicht nur den Ablauf eines solchen Angriffs. Mindestens ebenso interessant sind die beschriebenen Sicherheitslücken, die die Kriminellen ausgenutzt haben. Sowohl Emotet als auch Trickbot und Ryuk nutzen Sicherheitslücken, die bereits seit geraumer Zeit bekannt sind und für die es längst Sicherheitspatches gibt. Wären diese eingespielt worden, wäre der Angriff nicht möglich gewesen. Hinzu kommt, dass die im Unternehmen verwendeten Passwörter nicht sicher waren und keine Multi-Faktor-Authentifizierung genutzt wurde. Auch die Deaktivierung von PowerShell-Befehlen für alle Nutzer, die diese nicht zwingend für ihre Arbeit benötigen, hätte dem Angriff zu einem frühen Zeitpunkt einen Riegel vorschieben können. Und zu guter Letzt besteht auch noch die Sicherheitslücke Mensch im Unternehmen, die nur durch Aufklärung über die Gefahren im Netz und regelmäßige Schulungen zu schließen ist.

www.8com.de


Artikel zu diesem Thema

Stuxnet
Jul 17, 2020

Zehn Jahre seit der Entlarvung von Stuxnet

Am 15.07.2020 jährte sich zum zehnten Mal der Tag, an dem die Welt auf die Bedrohung…
Ransomware
Jul 03, 2020

Ransomware: Fünf Tipps, wie Firmen die Schäden erfolgreicher Angriffe stärker eingrenzen können

Cyberkriminelle nehmen aktuell gezielt Firmendaten ins Visier, da sie dort höheres…
Ransomware
Apr 17, 2020

Mit Data Management zum Schutz vor Ransomware-Angriffen

Ransomware-Angriffe sind unter den aktuell größten Cyberbedrohungen nach wie vor an der…

Weitere Artikel

Cyber Attack

Cyberangriffe gegen digitale Identitäten häufen sich

SailPoint Technologies veröffentlichte die Ergebnisse einer aktuellen Umfrage unter Sicherheits- und IT-Verantwortlichen, die klären sollte, warum auch große, ressourcenstarke Unternehmen weiterhin kompromittiert werden. Dabei trat ein gemeinsamer Nenner…
Ransomware

Ransomware: Immer mehr Unternehmen zahlen Lösegeld

Wer das Lösegeld nach einer Ransomware-Attacke zahlt, erhöht die Attraktivität der Malware für Cyberkriminelle, warnt das Royal United Services Institute (RUSI) in einem aktuellen Report.
Zero Trust

Bedrohungstrends 2021: Ist Zero Trust die Antwort?

Die COVID-19-Pandemie ist weltweit ein Treiber für den digitalen Wandel – und für Cyber-Attacken. Während Unternehmen alles daran setzten, sichere Remote-Arbeits-Infrastrukturen für ihre Mitarbeiter zu schaffen, waren Cyber-Kriminelle vor dem Hintergrund der…
Facebook Hacked

Datendiebstahl bei Facebook: Vorsicht vor Smishing!

Sicherlich haben Sie in den vergangenen Tagen den Datendiebstahl von mehr als 500 Mio. Datensätzen bei Facebook verfolgt. Dazu ein Statement – sowohl zum Trend Smishing als auch ein paar Tipps – unseres Kunden Proofpoint, um die eigene Gefährdung vor diesen…
Update

Microsoft Exchange Server-Hack: Nach dem Angriff ist vor dem Angriff

Derzeit werden tausende Microsoft Exchange Server mit Updates gepatcht. Die Sicherheitslücken, die in den vergangenen Wochen zuhauf beispielsweise von der Hackergruppe Hafnium ausgenutzt wurden, sollten damit behoben sein – für die betroffenen Unternehmen…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.