Erinnern Sie sich noch an Teil eins unserer «Cyber Crime Advents-Story»? Dort berichteten wir über den Spear-Phishing-Angriff auf einen Kunden. Im zweiten Teil der Geschichte erfahren Sie, wie es der Hackergruppierung anschliessend gelungen ist, sämtliche Daten und Systeme zu verschlüsseln und damit den produktiven Betrieb lahmzulegen.
Als das InfoGuard CSIRT (Computer Security Incident Response Team) mitten in der Nacht beim Kunden eintraf, war bereits klar, dass nicht nur vertrauliche Daten entwendet und verschlüsselt wurden, sondern gleich das gesamte Netzwerk – und das vermeintliche «Game Over» folgte schon bald, denn auch für die Belegschaft des Unternehmens begann der Arbeitstag mit einer grossen Überraschung. Weder die Büroarbeitsplätze noch die Produktionsumgebung waren verfügbar. Das Unter-nehmen wurde offensichtlich Opfer einer Ransomware-Attacke.
Für die Analyse und Wiederherstellung des ganzen Betriebs brauchte es jedoch erfahrene Experten. Um einerseits die Forderung der Erpresser zu erfahren und anderseits, um die Authentizität der Täterschaft zu verifizieren, trat unser CSIRT in einem ersten Schritt mit den Angreifern in Kontakt. Die Forderung: Rund eine Million Schweizer Franken, zahlbar natürlich in Bitcoins. Ansonsten drohten die Erpresser mit der Veröffentlichung der Daten und diese Forderung war ernst zu nehmen, da ein Auszug der gestohlenen Daten sogar kurzzeitig im Darknet publiziert wurde.
Cyber Crime weitet sich aus
Aber wie funktioniert das eigentlich; Daten klauen und Systeme verschlüsseln? Durch den initialen Phishing-Angriff konnte die Hackergruppierung ein Backdoor installieren, wodurch sie einen permanenten Zugang zum Unternehmensnetzwerk erhielten. Als wäre die eigene Infiltration nicht schon schlimm genug, wurde beim Fund der Cyberattacke noch weiterer Schaden entdeckt: Ein Kunde des betroffenen Unternehmens wurde ebenfalls Opfer von Nephilim – und, soweit es schien, war dieser noch stärker betroffen. Es war zwar noch nicht definitiv, dass der Angreifer unseren Kunden als Sprungbrett benutzte. Da es dem Angreifer gelang, über einen schlecht gesicherten, dem Internet-zugewandten Terminalserver ins Netzwerk zukommen, war die Vermutung jedoch ziemlich wahrscheinlich wahr. Die Systeme auf dem Server waren nicht durch eine Multi-Faktor-Authentifizierung gesichert, was dem Angreifer natürlich sehr gelegen kam.
Waren 2019 Ryuk, Trickbot und Emotet in aller Munde, so waren es in diesem Jahr Conti und Nephilim. (Wobei die ersteren noch immer ihr Unwesen treiben.) Nephilim war jene Ransomware, die in diesem Fall zugeschlagen hatte.
Der Netzwerkzugang ist nur der Anfang (vom Ende?)
Nachdem das Backdoor installiert war, wurde weitere Schadsoftware in Form von «Trickbot» nachgeladen. Trickbot klaut primär Login-Daten für privilegierte Domain Admin Accounts. Dadurch erhielten die Angreifer quasi einen Passepartout-Schlüssel für das Zielobjekt und konnten jederzeit mit ihrem Command & Control (C2) Server kommunizieren. Weder das Unternehmen noch der betroffene Administrator hatten eine Chance, die Entwendung des Passworts mit den vorhandenen technischen Mitteln zu erkennen.
Nun ging es den Angreifern darum, weitere Informationen über das Zielnetzwerk zu sammeln. Diese Phase verläuft häufig vollkommen parallel zur Collection-Phase, in welcher der Angreifer Daten für den eigentlichen Angriff identifiziert und vorbereitet, beispielsweise eine geplante Exfiltration, wie in diesem Beispiel. Dabei hat der Angreifer bekannte Tools wie «PsExec» und «wmi» eingesetzt, um sich lateral durch das Netz zu bewegen und gezielt «Bridgeheads» aufzubauen. Diese nutzt er am Ende, um von dort aus den weiteren Angriff durchzuführen.
Hacker – blitzschnell und unsichtbar
Anhand von Firewall-Logs konnte unser CSIRT die erste Kontaktaufnahme mit dem C2-Server re-konstruieren. Diese erfolgte nur wenige Minuten vor der eigentlichen Attacke. Für die C2-Verbindungen wurde das Angriffs-Framework «Cobalt Strike» eingesetzt. Die Entwendung der sensitiven Unternehmensdaten und die Verschlüsselung des Netzwerks erfolgten sehr schnell. Nur gerade 15 Minuten nach der initialen Kontaktaufnahme mit dem C2-Server, wurden die ersten Daten entwendet. In den darauffolgenden Tagen folgten weitere Files. Damit der Vorgang möglichst unerkannt blieb, handelte es sich jedoch um relativ kleine Datenvolumen.
Der zweite Teil des Angriffs bestand aus der Verschlüsselung von Systemen im gesamten Unternehmensnetzwerk. Die Angreifer wählten dabei vorrangig Server-Systeme aus. Ausgehend von mehreren Domaincontrollern, führten die Angreifer eine grosse Anzahl von .bat-Skripten aus, welche den Transfer der Malware, das Deaktivieren von Sicherheitslösungen und den eigentlichen Verschlüsselungsprozess auf weiteren Servern auslösten. Das Ergebnis kennen Sie bereits: das vermeintliche «Game-over».
Sorgen Sie für den Worst-Case vor
Sie stimmen uns sicher bei, dass dieses Szenario den Worst-Case darstellt – und Ihnen hoffentlich nie passiert! Trotzdem ist es sinnvoll, sich auf diesen Fall vorzubereiten. Denn in solch einer hektischen Situation ist ein verlässlicher, erfahrener Partner unerlässlich. Einerseits fehlt es intern meist an Know-how und Ressourcen, um so eine Situation entsprechend managen zu können. Andererseits gibt es genügend andere Aufgaben, um die man sich kümmern muss. Nebst technischen Hürden gilt es, sich auch um die Kunden, Geschäftspartner und nicht zuletzt um die Mitarbeitenden sowie womöglich auch noch um die Öffentlichkeit zu kümmern.
Wie hätten Sie reagiert?
Wie Sie auf einen Zwischenfall reagieren, ist genauso wichtig wie Ihr Bestreben, einen Vorfall zu vermeiden. Wir empfehlen Ihnen dies im Rahmen eines Table-Top-Exercise (TTX) zu trainieren. Dadurch sind Sie besser vorbereitet und können Ihre Reaktions- und Wiederherstellungsfähigkeiten steigern, sollten Sie einmal Opfer eines Hackerangriffes werden. Unsere Cyber Security- und Cyber Defence-Experten sind hierzu Ihr idealer Sparring- Partner! Dank der langjährigen Erfahrung mit Cybervorfällen und TTX sowie umfassendem, bereichsübergreifendem Know-how, konnten wir bereits zahlreichen Unternehmen bei der Vorbereitung auf einen möglichen Cyberangriff helfen.
Am kommenden Montag erfahren Sie im letzten und abschliessenden Teil unserer Advents-Story, ob das Unternehmen die Cyberattacke überstanden hat und damit die Daten und Systeme wiederherstellen konnte. In der Zwischenzeit wünschen wir Ihnen ein erholsames und gemütliches 2. Advents-Wochenende.
