Anzeige

Ransomware

Der tägliche Blick in die Zeitung zeigt: Immer mehr Unternehmen haben mit Ransomware-Angriffen zu kämpfen. Doch wie genau sich Angreifer Zugang zu den Netzwerken verschaffen, darüber herrscht in vielen Fällen immer noch Unklarheit.

Die Sicherheitsforscher von AT&T haben nun einen von ihnen begleiteten Fall detailliert nachgezeichnet. Opfer war ein nicht näher genanntes Lebensmittelunternehmen, das sich dazu entschied, das Lösegeld nicht zu zahlen, sondern das Netzwerk mit Hilfe von Experten wiederherzustellen. Das gelang innerhalb von nur 48 Stunden.

Der Angriff begann mit einer Phishing-Kampagne, in deren Rahmen einem Mitarbeiter des Unternehmens ein Microsoft Word-Dokument zugeschickt wurde. Dieses war als Rechnung getarnt und sollte heruntergeladen werden. Das tat der nichtsahnende Mitarbeiter und setzte damit eine Reihe von Ereignissen in Gang. Zuerst wurde ein PowerShell-Befehl ausgeführt, wodurch der Trojaner Emotet heruntergeladen wurde. Hatte dieser im Netzwerk Fuß gefasst, begann die die Trickbot-Malware damit, Anmeldeinformationen zu Nutzerkonten und Cloud-Diensten auszuspionieren, um so Zugriff auf andere Teile des Netzwerks zu erhalten. Im vorliegenden Fall verschafften sich die Kriminellen durch dieses mehrstufige Vorgehen Zugriff auf mehr als die Hälfte des Unternehmensnetzwerks, bevor sie schließlich im dritten Schritt die Ransomware Ryuk aufspielten.

Das Unternehmen im Fallbeispiel hatte dabei jedoch noch Glück im Unglück: Ryuk kompromittierte nicht das gesamte Netzwerk. Nach rund 60 Prozent war Schluss, nachdem die hinzugezogenen IT-Sicherheitsleute den Angriff eindämmen konnten. Betroffen waren jedoch auch die Bestellabwicklung und die Abrechnung. Trotzdem entschied das Opfer, den Forderungen der Kriminellen nicht nachzugeben und die Sicherheitsexperten ihre Arbeit tun zu lassen. So gelang es, nach nur 48 Stunden einen Großteil der IT-Infrastruktur wieder zum Laufen zu bringen. Entscheidend für diesen glimpflichen Ausgang waren die schnelle Reaktionszeit des Unternehmens sowie die Fähigkeit der Sicherheitsexperten, den Angriff einzudämmen.

In ihrer Fallstudie zeigen die Experten nicht nur den Ablauf eines solchen Angriffs. Mindestens ebenso interessant sind die beschriebenen Sicherheitslücken, die die Kriminellen ausgenutzt haben. Sowohl Emotet als auch Trickbot und Ryuk nutzen Sicherheitslücken, die bereits seit geraumer Zeit bekannt sind und für die es längst Sicherheitspatches gibt. Wären diese eingespielt worden, wäre der Angriff nicht möglich gewesen. Hinzu kommt, dass die im Unternehmen verwendeten Passwörter nicht sicher waren und keine Multi-Faktor-Authentifizierung genutzt wurde. Auch die Deaktivierung von PowerShell-Befehlen für alle Nutzer, die diese nicht zwingend für ihre Arbeit benötigen, hätte dem Angriff zu einem frühen Zeitpunkt einen Riegel vorschieben können. Und zu guter Letzt besteht auch noch die Sicherheitslücke Mensch im Unternehmen, die nur durch Aufklärung über die Gefahren im Netz und regelmäßige Schulungen zu schließen ist.

www.8com.de


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Stuxnet
Jul 17, 2020

Zehn Jahre seit der Entlarvung von Stuxnet

Am 15.07.2020 jährte sich zum zehnten Mal der Tag, an dem die Welt auf die Bedrohung…
Ransomware
Jul 03, 2020

Ransomware: Fünf Tipps, wie Firmen die Schäden erfolgreicher Angriffe stärker eingrenzen können

Cyberkriminelle nehmen aktuell gezielt Firmendaten ins Visier, da sie dort höheres…
Ransomware
Apr 17, 2020

Mit Data Management zum Schutz vor Ransomware-Angriffen

Ransomware-Angriffe sind unter den aktuell größten Cyberbedrohungen nach wie vor an der…

Weitere Artikel

Hackerangriff

73% der weltweiten Passwörter können sofort geknackt werden

Laut der vom Passwortmanager NordPass zur Verfügung gestellten Daten können 73% der beliebtesten verwendeten Passwörter in weniger als einer Sekunde geknackt werden.
Windows 7

5,2 Mio. Computer in Deutschland nutzen alte Windows-Versionen

Windows-Betriebssysteme haben in Deutschland bei Desktop-PCs und Notebooks einen Marktanteil von rund 80 Prozent. Die gute Nachricht: Ein Großteil der eingesetzten Geräte nutzt das aktuelle Windows 10. Doch ein genauer Blick auf die Zahlen zeigt eine sehr…
Ransomware

Der Aufstieg der Ryuk Ransomware

Die Ryuk Ransomware hat unter Cyberkriminellen massiv an Popularität gewonnen. Die Zahl der entdeckten Angriffe stieg von nur 5.123 im 3. Quartal 2019 auf über 67 Millionen im 3. Quartal 2020, so das Ergebnis einer Sicherheitsstudie von SonicWall.
Hackerangriff

Vorsorgepläne als Ziel von Hackern

Da Vorsorgepläne sensible persönliche und finanzielle Daten enthalten, werden Cyberangriffe auf Altersvorsorge-, Renten- und Langzeitvorsorgepläne immer häufiger. Diese Daten zu schützen bedeutet, die Bedrohung zu verstehen und Richtlinien zum Schutz von…
Hacker Corona

Covid-19 Impfstoff als Thema unterschiedlicher Cyberattacken

Proofpoint, Inc., ein Next-Generation Cybersecurity- und Compliance-Unternehmen, warnt aktuell vor einer Vielzahl verschiedener Cyberattacken, die sich die Unsicherheit vieler Menschen rund um das Thema Covid-19-Impfstoff zunutze machen.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!