Anzeige

Hacker

Die Besorgnis über den Ransomware-Angriff auf Colonial Pipeline durch DarkSide hat sich über die Cybersicherheitsbranche hinaus deutlich in das Bewusstsein der Öffentlichkeit ausgebreitet. Dies ist ein Indikator für die weitreichenden Auswirkungen des Angriffs auf Wirtschaft und Verbraucher.

Als mittelbare Reaktion darauf hat die Biden-Administration eine Executive Order erlassen. Parallel dazu haben sich Experten darangemacht, die Server der DarkSide-Ransomware-Gruppe auszuschalten.

Bleibt jedoch für die Zukunft die Frage: Wie können sich Unternehmen vor einem Ransomware-as-a-Service (RaaS)-Angriff schützen, der dem jüngsten Angriff ähnelt, der Colonial Pipeline lahmgelegt hat?

Zunächst sollten Sicherheitsverantwortliche verstehen, wie RaaS-Angriffe typischerweise ausgeführt werden. In der Regel nutzen die Angreifer Windows-Schwachstellen für den ersten Zugriff aus.

Guido Grillenmeier, Chief Technologist bei Semperis erläutert, wie Angreifer in Active Directory eindringen. Demnach folgen RaaS-Gruppen in der Regel einem bestimmten Verhaltensmuster:

  • Ein Angriff beginnt mit einer Erkundung („Reconnaissance“), bei der Penetration-Tools eingesetzt werden, um einen ersten Zugang zu den Systemen zu erhalten.
  • Nachdem sie erfolgreich Fuß gefasst haben, verbringen die Angreifer meist Wochen damit, unbemerkt nach Schwachstellen zu suchen und sich Zugang zu privilegierten Benutzerkonten zu verschaffen.
  • Wer Eindringling wird versuchen, die Auswirkungen zu maximieren, nachdem er die Systeme gesperrt und Lösegeld gefordert hat.
  • Der Angreifer stiehlt nicht nur sensible Daten, sondern droht wahrscheinlich auch damit, die Daten zu veröffentlichen, wenn das Lösegeld nicht rechtzeitig gezahlt wird.

Vor allem die DarkSide-Ransomware-Gruppe weist einige Besonderheiten auf:

  • DarkSide ist geschäftsorientiert. Die Gruppe behauptet nicht nur, „Prinzipien“ zu haben, wie z. B. keine Krankenhäuser oder Schulen anzugreifen, sondern greift nur Unternehmen an, von denen sie weiß, dass sie zahlen können und werden.
  • Die Bande ist opportunistisch und schlägt dann zu, wenn die Unternehmen am ehesten zahlen werden. Sie ist geduldig und führt mehrere Wochen lang Erkundungen durch, um die „Kronjuwelen“ ausfindig zu machen.
  • Schließlich weiß sie, dass die Einnahmen aus Ransomware vorhersehbar sind, denn es gibt keine Anzeichen dafür, dass Ransomware-as-a-Service nachlässt. Der Angriff auf Colonial Pipeline zeigt, dass Gruppen wie DarkSide die Jagd auf Infrastrukturanbieter und SCADA-Systeme eröffnet haben.

Auch wenn das eigene Unternehmen kein Infrastrukturbetreiber ist, gilt es das Folgende zu bedenken: Ransomware-as-a-Service-Angriffsgruppen bevorzugen Windows-Schwachstellen. Gängige Ratschläge wie „Halten Sie Ihre Windows-Systeme auf dem neuesten Stand“ sind bei dieser Art von Angriffen besonders wichtig. Es ist jedoch auch wichtig, proaktiv nach schwachen Konfigurationen in den Identitätssystemen (insbesondere Active Directory) zu suchen, die ein bevorzugtes Ziel für Angreifer darstellen.

https://www.semperis.com/


Artikel zu diesem Thema

Cybercrime
Mai 21, 2021

Cyberbedrohungen zeigen für 2020 dreistellige Zuwächse bei allen Malware-Typen

Ein Bericht über Cyberbedrohungen des US-amerikanischen Cybersecurity-Unternehmens Deep…
US-Präsident Biden
Mai 19, 2021

US-Präsident Biden erlässt Cyber Executive Order (EO)

In der vergangenen Woche hat die US-Regierung um Präsident Biden weitreichende Erlasse…
USA-Flagge
Mai 11, 2021

Update zur Cyberattacke auf Colonial Pipeline

Eine Ransomware-Attacke hat die Treibstoffversorgung in weiten Teilen der USA…

Weitere Artikel

Technologie

Die Hälfte der Business-Technologen stellt Lösungen für außerhalb der eigenen Abteilung bereit

Laut dem Research- und Beratungsunternehmen Gartner entwickelt die Hälfte aller Business-Technologen Lösungen für Benutzer außerhalb ihrer eigenen Abteilung und/oder ihres Unternehmens.
Bechtle

Bechtle veröffentlicht Nachhaltigkeitsstrategie 2030

Die Bechtle AG hat die Nachhaltigkeitsstrategie 2030 vorgestellt. Das IT-Unternehmen mit Hauptsitz in Neckarsulm und Standorten in 14 Ländern Europas verbindet darin ökonomische, ökologische sowie soziale Aspekte und vereint strategische Ziele mit konkreten…
Corona Warn App

Corona-Warn-App: Neue Version bereit für Booster-Impfung

Die Corona-Warn-App des Bundes ist in der neuen Version in der Lage, die Nutzer schnell über eventuell anstehende Auffrischungsimpfungen zu informieren. Damit passt das Projektteam aus Robert Koch-Institut, SAP und Deutscher Telekom die App weiterhin an das…
Smartphone Sicherheitslücke

Huawei und Xiaomi betroffen: Sicherheitslücken in 5G-Handys

Litauens Regierung hat vor Sicherheitslücken und eingebauten Zensurfunktionen in chinesischen Mobiltelefonen gewarnt. Nach Angaben des staatlichen Zentrums für Cybersicherheit in Vilnius sind bei einer Untersuchung von drei 5G-Smartphones der Hersteller…
Zoom

US-Regierung untersucht Zooms Pläne für Milliarden-Zukauf

Die Pläne von Zoom, sich mit einer Milliarden-Übernahme im Call-Center-Geschäft zu etablieren, werden von der US-Regierung einer intensiven Prüfung unterzogen. Ein spezielles Gremium unter Führung des Justizministerium untersucht, ob der Deal Risiken für die…
Cyberangriff

Zahl automatisierter Cyberangriffe steigt

In der Softwarebranche ist die Automatisierung von Fabriken und Büros seit Jahren ein Hauptthema. Auch Online-Kriminelle haben nach der Analyse eines britischen Konzerns die Vorteile der Automatisierung entdeckt.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.