Anzeige

Ransomware

Der tägliche Blick in die Zeitung zeigt: Immer mehr Unternehmen haben mit Ransomware-Angriffen zu kämpfen. Doch wie genau sich Angreifer Zugang zu den Netzwerken verschaffen, darüber herrscht in vielen Fällen immer noch Unklarheit.

Die Sicherheitsforscher von AT&T haben nun einen von ihnen begleiteten Fall detailliert nachgezeichnet. Opfer war ein nicht näher genanntes Lebensmittelunternehmen, das sich dazu entschied, das Lösegeld nicht zu zahlen, sondern das Netzwerk mit Hilfe von Experten wiederherzustellen. Das gelang innerhalb von nur 48 Stunden.

Der Angriff begann mit einer Phishing-Kampagne, in deren Rahmen einem Mitarbeiter des Unternehmens ein Microsoft Word-Dokument zugeschickt wurde. Dieses war als Rechnung getarnt und sollte heruntergeladen werden. Das tat der nichtsahnende Mitarbeiter und setzte damit eine Reihe von Ereignissen in Gang. Zuerst wurde ein PowerShell-Befehl ausgeführt, wodurch der Trojaner Emotet heruntergeladen wurde. Hatte dieser im Netzwerk Fuß gefasst, begann die die Trickbot-Malware damit, Anmeldeinformationen zu Nutzerkonten und Cloud-Diensten auszuspionieren, um so Zugriff auf andere Teile des Netzwerks zu erhalten. Im vorliegenden Fall verschafften sich die Kriminellen durch dieses mehrstufige Vorgehen Zugriff auf mehr als die Hälfte des Unternehmensnetzwerks, bevor sie schließlich im dritten Schritt die Ransomware Ryuk aufspielten.

Das Unternehmen im Fallbeispiel hatte dabei jedoch noch Glück im Unglück: Ryuk kompromittierte nicht das gesamte Netzwerk. Nach rund 60 Prozent war Schluss, nachdem die hinzugezogenen IT-Sicherheitsleute den Angriff eindämmen konnten. Betroffen waren jedoch auch die Bestellabwicklung und die Abrechnung. Trotzdem entschied das Opfer, den Forderungen der Kriminellen nicht nachzugeben und die Sicherheitsexperten ihre Arbeit tun zu lassen. So gelang es, nach nur 48 Stunden einen Großteil der IT-Infrastruktur wieder zum Laufen zu bringen. Entscheidend für diesen glimpflichen Ausgang waren die schnelle Reaktionszeit des Unternehmens sowie die Fähigkeit der Sicherheitsexperten, den Angriff einzudämmen.

In ihrer Fallstudie zeigen die Experten nicht nur den Ablauf eines solchen Angriffs. Mindestens ebenso interessant sind die beschriebenen Sicherheitslücken, die die Kriminellen ausgenutzt haben. Sowohl Emotet als auch Trickbot und Ryuk nutzen Sicherheitslücken, die bereits seit geraumer Zeit bekannt sind und für die es längst Sicherheitspatches gibt. Wären diese eingespielt worden, wäre der Angriff nicht möglich gewesen. Hinzu kommt, dass die im Unternehmen verwendeten Passwörter nicht sicher waren und keine Multi-Faktor-Authentifizierung genutzt wurde. Auch die Deaktivierung von PowerShell-Befehlen für alle Nutzer, die diese nicht zwingend für ihre Arbeit benötigen, hätte dem Angriff zu einem frühen Zeitpunkt einen Riegel vorschieben können. Und zu guter Letzt besteht auch noch die Sicherheitslücke Mensch im Unternehmen, die nur durch Aufklärung über die Gefahren im Netz und regelmäßige Schulungen zu schließen ist.

www.8com.de


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Stuxnet
Jul 17, 2020

Zehn Jahre seit der Entlarvung von Stuxnet

Am 15.07.2020 jährte sich zum zehnten Mal der Tag, an dem die Welt auf die Bedrohung…
Ransomware
Jul 03, 2020

Ransomware: Fünf Tipps, wie Firmen die Schäden erfolgreicher Angriffe stärker eingrenzen können

Cyberkriminelle nehmen aktuell gezielt Firmendaten ins Visier, da sie dort höheres…
Ransomware
Apr 17, 2020

Mit Data Management zum Schutz vor Ransomware-Angriffen

Ransomware-Angriffe sind unter den aktuell größten Cyberbedrohungen nach wie vor an der…

Weitere Artikel

Ransomware

Maze-Ransomware jetzt noch gefährlicher

Seit fast eineinhalb Jahren treibt die Ransomware Maze ihr Unwesen. Bereits im Mai warnte das Sicherheitsunternehmens Sophos in einem Bericht vor den Machenschaften der Cyberkriminellen. Diese begnügen sich nicht damit, die Daten ihrer Opfer zu verschlüsseln,…
RDP

Hacker: Täglich millionenfache RDP-Angriffe auf Home-Offices

Die Sicherheitsexperten von ESET schlagen Alarm: Seit dem Corona-bedingten Umzug in das Home-Office hat sich die Anzahl der täglichen Hacker-Angriffe auf Remote-Desktop-Verbindungen (RDP) im DACH-Raum mehr als verzehnfacht. Allein im Juni 2020 verzeichnete…
Cybercrime

eCrime nimmt an Volumen und Reichweite weiter zu

CrowdStrike, ein Anbieter von Cloud-basiertem Endpunktschutz, gab heute die Veröffentlichung des CrowdStrike Falcon OverWatchTM 2020 Threat Hunting Report bekannt.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!