Tagebuch einer realen Conti-Ransomware-Attacke

Sophos beschreibt in drei Reports detailliert das Vorgehen einer realen Conti-Ransomware-Attacke und wie sie gestoppt wurde. Mit dabei: Angriffsverhalten, technische Hintergründe und praktische Tipps für IT-Administratoren.

Conti-Ransomware-Attacken, die vermehrt seit Mitte letzten Jahres ihr Unwesen treiben, sind ein eindrückliches Beispiel dafür, wie Cyberkriminelle mit moderner und ausgebuffter Technologie gezielt ihren Angriff planen und damit ihre Erfolgschancen stark verbessern, erfolgreich in Unternehmensnetzwerke einzudringen. In drei detaillierten Reports beschreibt das Sophos-Rapid-Response-Team eine reale Attacke und den Verlauf über fünf Tage hinweg: „Dies war ein sehr schneller und potenziell verheerender Angriff”, sagt Peter Mackenzie, Manager von Sophos Rapid Response. „Bei unserer forensischen Aufarbeitung haben wir gesehen, dass die Angreifer Lücken in der Firewall ausnutzten, um in nur 16 Minuten das Netzwerk zu kompromittieren und Zugriff auf die Domain-Administrationsdaten zu erhalten. Danach setzten die Angreifer Cobalt Strike Agents auf den Servern ein, die das Rückgrat des Ransomware-Angriffs bilden sollten.“

Anzeige

Das Besondere an diesem Angriff war, dass die Cyberkriminellen ihn eigenhändig steuerten und nicht alles einer automatisierten Routine überließen. Bei diesen von Menschenhand gesteuerten Attacken können sich die Angreifer anpassen und in Echtzeit auf veränderte Situationen reagieren. Dank solcher Flexibilität haben diese Attacken höhere Erfolgschancen und Opfer können sich nicht in Sicherheit wiegen, nur weil ein erster Angriffsversuch entdeckt und vereitelt wurde.

Denn dann passiert, was im folgenden Tagebuch einer realen Conti-Ransomware-Attacke beschreiben wird – zum Glück in diesem Fall mit Happy End:

Tag 1: Die Angreifer durchdringen die Firewall und benötigen nur 16 Minuten, um auf zwei Servern des Opfers den Admin-Account zu kapern. Im Anschluss setzen sie einen Cobalt Strike Agent auf dem ersten Server ein, bis dieser Angriff vom Opfer entdeckt und gestoppt wird. Nur 15 Minuten später wiederholen die Angreifer ihre Aktion auf dem zweiten Server, und diese Attacke wird nicht bemerkt. Einmal den Fuß in der Tür, begeben sich die Angreifer auf „Schleichfahrt“ durch das Firmennetzwerk des Opfers und infizierten einen dritten Server.

Tag 2: Es werden keine Angriffsaktivitäten vom Opfer bemerkt.

Tag 3: Die Angreifer sehen sich rund zehn Stunden lang nach Dateiordnern mit potenziell interessanten Informationen um und ziehen diese mit Hilfe des legitimen Open-Source-Management-Tools RClone, das unbemerkt auf dem dritten gekaperten Server installiert wurde, ab. Unter anderem sind Daten aus der Finanz-, HR- und IT-Abteilung betroffen.

Tag 4: Die Angreifer nutzen ihr aus Tag 1 gesammeltes Wissen über die Endpoint- und Serverstruktur und installieren zunächst einen Cobalt Strike Agent auf einem vierten Server, um die Ransomware zu testen. Nach der Erfolgsmeldung installieren sie Cobalt Strike auf nahezu 300 Geräten und starten nach weiteren 40 Minuten die Conti-Ransomware. Dabei laden die kompromittierten Endpoints den Code von verschiedenen Command&Control-Adressen und führen diesen aus. Das perfide dabei: Es werden keine Daten auf die Festplatten geschrieben, sondern die Ransomware direkt im Arbeitsspeicher ausgeführt, um einer Entdeckung zu entgehen.

In der Folge versucht die Ransomware drei Stunden lang Daten zu verschlüsseln, wird auf den mit Sophos Intercept X geschützten Rechnern allerdings trotz der Verschleierungstaktik geblockt. Das angegriffene Unternehmen kappt nun die Internetverbindung mit Ausnahme der Sophos-Anwendung, fährt die kritische Infrastruktur herunter und stoppt die Arbeitsprozesse. Das Sophos Rapid-Response-Team wird hinzugezogen, identifiziert die infizierten Endpoints und Server, stoppt die verschiedenen Angriffsprozesse und beginnt, kompromittierte Bereiche wieder herzustellen.

Tag 5: Die Rapid-Response-Eingreiftruppe identifiziert bei ihren abschließenden Recherchearbeiten eine zweite, potenzielle Datenexfiltrierung, einen zweiten kompromittierten Account sowie verdächtigen RDP-Traffic (Remote Desktop Protocol) durch die anfällige Firewall. Gleichzeitig stellt das Opfer die ungesicherten Endpoints wieder her und fährt die kritische Infrastruktur hoch.

Die Moral von der Geschicht…

Oft sind es die IT-Administratoren, die bei einem Ransomware-Angriff in der direkten Schusslinie stehen. Sie sind diejenigen, die morgens zur Arbeit kommen und alles verschlüsselt samt einer Lösegeldforderung vorfinden. Basierend auf den Erfahrungen seines Rapid-Response-Teams hat Sophos eine Aktionsliste entwickelt, um die herausfordernden ersten Stunden und die folgenden Tage eines Ransomware-Angriffs bestmöglich zu meistern.

  • Abschalten des Remote-Desktop-Protokolls (RDP) zum Internet, um Cyberkriminellen den Zugriff auf Netzwerke zu verwehren.
     
  • Wenn der Zugriff auf RDP unbedingt nötigt ist, sollte dieser über eine VPN-Verbindung abgesichert sein.
     
  • Mehrschichtige Sicherheitsmaßnahmen – einschließlich EDR-Funktionen (Endpoint Detection and Response) und Managed-Response-Teams für die 24/7-Überwachung der Netzwerke – verhindern Angriffe und tragen maßgeblich zum Schutz und zur Erkennung von Cyberangriffen bei.
     
  • Ständiges Monitoring bekannter Frühindikatoren, die Ransomware-Angriffen oftmals vorausgehen.
     
  • Anlegen eines Incident-Response-Plans, der kontinuierlich mit den Veränderungen der IT-Infrastruktur und des Unternehmens aktualisiert werden sollte. Externe Experten können hierbei mit viel Erfahrung exzellente Hilfeleistung bieten.

Drei Conti-Ransomware-Reports von Sophos:

In den drei Reports von Sophos wird die Conti-Ransomware-Attacke aus unterschiedlichen Blickwinkeln beschrieben und es werden konkrete Handlungsanweisungen für den Fall eines Angriffs gegeben. 

www.sophos.de
 

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.