Im abschliessenden Teil unserer etwas anderen Advents-Story wollen wir Ihnen aufzeigen, weshalb es bei einer Cyberattacke so wichtig ist, schnell und professionell zu agieren – denn die Gegenseite tut dies auch. In den ersten beiden Teilen haben Sie erfahren, wie der initiale Angriff mittels (Spear) Phishing abgelaufen ist und wie die Hackergruppierung Monate später Daten und das gesamte Netzwerk des betroffenen Unternehmens lahmlegte. Wie unsere Cyber Security-Experten mit der Lösegeldforderung umgegangen sind und ob das Unternehmen gerettet werden konnte, erfahren Sie in diesem Beitrag.
Das CSIRT-Kommando übernimmt
Der «Cyberkrimi» begann Ende Mai mitten in der Nacht – und das vermeintliche «Game Over» folgte schon bald. Damals wurde ein Schweizer Industrieunternehmen Opfer einer gezielten Cyberattacke mit der Ransomware «NEPHILIM». Dabei wurden – wie Sie ja bereits aus den früheren Beiträgen unserer Advents-Story erfahren haben – nicht nur vertrauliche Daten entwendet und verschlüsselt, sondern gleich das gesamte Netzwerk. Unser CSIRT (Computer Security Incident Response Team) begleitete das betroffene Unternehmen von Anfang an. Die erste gute Nachricht: Die Daten konnten dank einer sehr guten Backup-Strategie sowie der schnellen und professionellen Reaktion der internen IT-Abteilung des Unternehmens rasch wiederhergestellt werden. Die komplette Wiederherstellung der Infrastruktur dauerte etwas länger…
Um schnell mit der Analyse und Spurensuche zu beginnen und gleichzeitig das Unternehmen zu schützen, sollten die Angreifer noch im Netzwerk sein, wurde in einem ersten Schritt innert weniger Stunden auf zigtausend Endpunkten der Tanium-Agent ausgerollt. Denn wenn die Angreifer noch im Netzwerk sein sollten, würden so sofort die «Alarmglocken» läuten und es könnten weitere Schutzmassnahmen eingeleitet werden.
Besonderes Augenmerk galt danach natürlich der Analyse des Vorfalls, damit die Angreifer mit ihren Werkzeugen komplett aus dem Netzwerk entfernt und auch zukünftig keine Einfallstore für weitere Angriffe mehr vorhanden sind. Dazu rekonstruieren die Experten die Cyberattacke haargenau. Ins-gesamt arbeitete das Team mehrere Wochen daran – nicht, weil sie langsam waren, sondern weil moderne Cyberattacken so komplex und leider effektiv «gut» sind.
Auf den Spuren des Angreifers
Cyberangriffe werden immer komplexer; Zero-Day-Exploits und agile Cyber Crime-Techniken sind nicht einfach zu erkennen. Aber auch Sie können dank unserem EDR-as-a-Service mit den gleichen professionellen Werkzeugen arbeiten, wie unsere Experten des CSIRT. Sie wollen Sicherheitsvorfälle frühzeitig erkennen und darauf reagieren können, bevor ein Schaden entsteht? Hier erfahren Sie mehr zu unserem EDR-as-a-Service.
Leider fehlte im aufgezeigten Fall solch ein Warnsystem, wodurch die bekannte Vorgehensweise der Hacker unentdeckt blieb. Um Gefahren abzuwehren, sollten Unternehmen typische Muster von Cyberangriffen nicht nur kennen, sondern auch erkennen können. Solch ein Muster wollen wir Ihnen anhand des aufgezeigten Spear-Phishing-Angriffs kurz beleuchten:
- Versand des Spear-Phishing-E-Mails aus vermeintlich vertrauenswürdiger Quelle an ausgewählte Mitarbeitende des Unternehmens.
- Öffnung von Spear-Phishing-E-Mails und präparierter Anhänge durch die Mitarbeitenden.
- Starten eines bösartigen Makros und Installation von Malware auf dem Rechner der Mitarbeitenden.
- Diebstahl von Zugangsdaten und Passwörtern des lokalen, kompromittierten Rechners.
- Nutzung der Zugangsdaten für den Zugriff auf verbundene Systeme in der Domain.
- «Seitwärtsbewegung» (lateral movement) der Angreifer im Netzwerk, bis sie Zugang zu einem Administrator-Account erhalten.
- Verwendung des administrativen Accounts, um sich Zugriff auf zusätzliche privilegierte Accounts zu verschaffen.
- Nutzung der privilegierten Accounts und Zugangsdaten für den Zugang zu unternehmenskritischen Systemen, Applikationen und Daten.
Mit dieser Vorgehensweise im Hinterkopf suchten auch unsere Experten des CSIRT nach entsprechenden Spuren im kompromittierten Netzwerk. Dadurch konnten sie die ersten Anzeichen anhand der sogenannten «Cyber Kill Chain» nach der eigentlichen Aufklärungs- und Bewaffnungsphase der Hacker aufdecken. Bei dieser Arbeit durfte natürlich nichts ohne «Handschuhe» angefasst werden. Dazu wurde der Tatort grossräumig «abgeriegelt». Alle möglichen Zugänge, Systeme oder Fluchtwege wurden untersucht, überwacht und anschliessend abgeriegelt. Danach konnte der Wiederaufbau der Infrastruktur gestartet werden – und unser Team konnte sicher sein, dass die Angreifer nicht noch irgendwo versteckt auf der Lauer lagen.
Bezahlen oder nicht bezahlen? Die grosse Frage bei Lösegeldforderungen
Und da war ja noch die Lösegeldforderung: Zahlen oder nicht zahlen? Hierzu gibt es kein Richtig oder Falsch. Dabei spielen viele Faktoren eine Rolle: das Unternehmen selbst (Grösse, Branche usw.), ob ein Backup besteht, die Risiko-Faktoren, die Höhe der Forderung usw. Im vorliegenden Fall wurde gemeinsam mit dem Kunden entschieden, nicht zu bezahlen. Die Gefahr, dass diese Daten möglicherweise publiziert werden könnten, war allen bewusst.
Ende gut, alles gut?
Das Unternehmen verfügte über eine solide Backup-Strategie, wodurch die Recovery-Phase parallel zur Analyse eingeleitet werden konnte. Zum Glück hatten sie zudem ein eingespieltes, professionelles IT-Team, welches beim Wiederaufbau unglaublich hart gearbeitet und toll mit unserem CSIRT zusammengespannt hat. Ende gut, alles gut – wie es sich für eine richtige Advents-Story gehört. Oder zumindest so ähnlich…
Security Incident – nicht ohne einen verlässlichen Partner
Sie sehen: Cyberattacken passieren blitzschnell und laufen selten «glimpflich» ab. Wie hätten Sie reagiert, wenn sich diese Geschichte in Ihrem Unternehmen abgespielt hätte? Vielleicht haben Sie Glück und können ebenfalls auf ein erfahrenes, kompetentes IT-Team vertrauen, das die ersten Schritte einleiten kann. Unsere Erfahrung sagt jedoch etwas Anderes. Oft fehlt es intern an Know-how und Ressourcen, um so eine Situation entsprechend managen zu können. Andererseits gibt es genügend andere Aufgaben, um die Sie sich in solch einer Situation kümmern müssen. Aber solange Sie nicht betroffen sind, müssen Sie sich schliesslich keine Gedanken darum machen. Falsch!
Auch noch so gute Sicherheitsvorkehrungen können ein Unternehmen heutzutage nicht vor Cyberattacken schützen. Daher sollten Sie in der Lage sein, bei einem Vorfall schnell, professionell und geplant handeln zu können. Nur wie? Unser Incident Response Retainer ist hier die optimale und effektivste Lösung. In einem gemeinsamen Onboarding-Workshop bereiten wir Sie auf den Ernstfall vor. Sollte dieser eintreten, können wir zusammen mit Ihnen richtig reagieren: schnell, kompetent und mit viel Erfahrung – und das 24x7. Mehr zu unserem Incident Response Retainer erfahren Sie hier:
