InfoGuard Cyber Security & Cyber Defence Blog

Das Beste zum Schluss – unsere Cyber Crime Advents-Story 2020 [Teil 1]

Geschrieben von Michelle Gehri | 30. Nov 2020

Keine Frage: 2020 wird in die Geschichte eingehen. Das Coronavirus hat unseren Alltag selbst nach Monaten noch fest im Griff. Was das mit Cyber Security zu tun hat? Auch Cyberviren haben das Jahr (wieder) stark geprägt und bleiben uns 2021 bestimmt nicht erspart.

Unsere InfoGuard Cyber Security-Experten haben auch in diesem Jahr wiederum einiges gesehen, erlebt und auch gestaunt. Denn so «furchterregend» Cyberattacken sein können, so interessant sind sie auch. In drei Teilen erfahren Sie von unseren Experten, welche Geschichten ihnen besonders im Gedächtnis geblieben sind.

Unsere InfoGuard-Spezialisten wurde Ende Mai, spät abends um 22.30 Uhr alarmiert. Ein Notfall, der sofortige Aufmerksamkeit erforderte. De facto war bereits klar, dass nicht nur vertrauliche Daten entwendet und verschlüsselt wurden, sondern gleich das gesamte Netzwerk. Freundlicherweise hatte der Hacker das Unternehmen bereits kontaktiert: Rund eine Million Schweizer Franken Lösegeld wurden gefordert. Ansonsten würden die Daten nicht nur verschlüsselt bleiben, sondern auch veröffentlicht und im Darkweb verkauft. Ein absoluter Albtraum für jedes Unternehmen!

Für die weitere Analyse und Wiederherstellung des ganzen Betriebs brauchte es jedoch erfahrene Experten, weshalb das CSIRT (Computer Security Incident Response Team) der InfoGuard beigezogen wurde. Die Experten wollten keine Zeit verlieren und machten sich umgehend auf den Weg zum betroffenen Kunden. Zeitgleich wurden bereits die entsprechenden Behörden kontaktiert. Aber eins nach dem anderen…

Der Mensch – das schwächste Glied in der Cyber Security

Wie bei so vielen Cyberattacken, war auch hier der initiale «Auslöser» der Mensch resp. ein Mitarbeiter. Nicht im Sinne, dass die Person der Angreifer war, sondern vielmehr das Einfallstor für den Hacker. In diesem Fall war es eine unscheinbare Bewerbung auf eine offene Stelle, die im E-Mail-Eingang des HR-Teams landete, inkl. CV im Anhang. Beim Öffnen der Worddatei erschien eine Warnmeldung betreffend der Aktivierung eines Makros. Die Mitarbeitenden waren zwar auf Cyberrisiken sensibilisiert. Aber wer käme auf die Idee, einen Virus in Form einer Bewerbung zu verschicken?! Ohne Bedenken aktivierte der Mitarbeiter das Makro – und sah tatsächlich einen CV vor sich. Was er jedoch nicht sehen konnte: Der Trojaner «Emotet» konnte dank der Aktivierung ins Unternehmensnetzwerk gelangen. Das Paradoxe: Dies war Monate vor dem eigentlichen Angriff!

Weil (Cyber-) Katastrophen nie alleine kommen

Der Trojaner Emotet, der schon letztes Jahr für mächtig Aufruhr sorgte, zeichnet unter anderem den E-Mailverkehr auf. So können gezielt Spam-Mails resp. Phishing-E-Mails kreiert werden – genau wie im beschriebenen Fall.

Als könnte Emotet alleine nicht schon genug Schaden anrichten, wird häufig die Schadsoftware «Trickbot» nachgeladen. Trickbot, eine Art Spion mit Vorliebe für Domain Admin Accounts, klaut primär Login Credentials. Dadurch hat die Software quasi einen Passepartout-Schlüssel, womit der Zugriff auf alle Daten und Systeme möglich ist. Und ja, das ist genauso schlimm wie es sich anhört.

1 + 1 = Ryuk

Beim nächsten Schritt zeigte Emotet sein wahres Können. Anhand der gesammelten Daten, konnte der Trojaner neue, kontextabhängige Phishing-E-Mails kreieren. In diesem Fall erhielt eine Mitarbeiterin im Marketing eine E-Mail von der Druckerei, mit der sie seit Jahren zusammenarbeiteten. In der E-Mail ging es um ein Sonderangebot, das jedoch streng limitiert war. Was sie nicht wissen konnte: Der Absender war gar nicht die Druckerei, sondern eine professionelle Hackergruppierung. Da bald wieder eine neue Bestellung fällig war, klickte die Mitarbeiterin auf den Link. Enttäuscht stellte sie jedoch fest, dass das Angebot bereits nicht mehr verfügbar war – schade!

Freuen konnte sich dafür der Angreifer, der dank ihres Klicks freie Bahn hatte. Im Hintergrund wurde eine weitere Schadsoftware heruntergeladen, dieses Mal die Ransomware «Ryuk». Die berüchtigte Verschlüsselungssoftware installierte sich umgehend und machte sich an die Arbeit. Ryuk verschlüsselt aber nicht nur alle Daten, sondern verändert auch Systemkonfigurationen. Denn dank Trickbot hat der Angreifer auch die Möglichkeit, auf sämtliche Systeme und Backups zuzugreifen.

Phishing? Das nächste Opfer könnten Sie sein!

Phishing zählt zu den häufigsten Angriffsmethoden – und leider auch zu einer der erfolgreichsten. Daher liegt der erste Schritt zu einer effektiven Cyber Security bei der Sensibilisierung der Mitarbeitenden. Klar wussten auch die Mitarbeitenden in unserem Fall, was ein Phishing-E-Mail ist und worauf man grundsätzlich achten sollte. Das Problem: Heutzutage wird es immer schwieriger, Phishing-Attacken zu erkennen. Wie im beschriebenen Fall, wurden beispielsweise mittels Spear Phishing gezielt persönliche Informationen verwendet, welche Angreifer vermeintlich gar nicht wissen können. Da Emotet in Kombination mit Trickbot aber sämtliche Daten inkl. E-Mails durchforstete, wussten die Angreifer genau Bescheid über die Lieferantenbeziehung sowie das Sonderangebot. Erschreckend, nicht?

Pünktlich zum Start unseres Adventskalenders, stellen wir Ihnen unser Phishing-Poster kostenlos zur Verfügung. Darin finden Sie eine Vielzahl von Tipps und Tricks von unseren Cyber Security-Experten, die Sie und Ihre Mitarbeitenden vermutlich noch nicht kannten. Jetzt kostenlos downloaden!

Und wenn Sie wissen wollen, wie unsere Advents-Story weitergeht und mit welchen Herausforderungen der Kunde sowie unser CSIRT zu kämpfen hatten, dann verpassen Sie auf keinen Fall den zweiten Teil. Nächsten Freitag geht’s weiter!