InfoGuard AG (Hauptsitz)
Lindenstrasse 10
6340 Baar
Schweiz
InfoGuard AG
Stauffacherstrasse 141
3014 Bern
Schweiz
InfoGuard Deutschland GmbH
Landsberger Straße 302
80687 München
Deutschland
«Willkommen. Wir sind es, nochmals... Ihre Dateien sind verschlüsselt und derzeit nicht verfügbar. Sie können es überprüfen: Alle Dateien auf Ihrem System haben die Erweiterung XXX. Übrigens ist es möglich, alles wiederherzustellen, aber Sie müssen unsere Anweisungen befolgen. Andernfalls können Sie Ihre Dateien nicht wiederherstellen (NIEMALS). Es ist nur ein Geschäft…» Was wie ein düsterer Cyber-Krimi klingt, ist leider real. In diesem Blogartikel stellen wir Ihnen einen weiteren Ransomware-Angriff vor. Das neue Opfer: Ein multinationales Unternehmen.
Das InfoGuard Computer Security Incident Response Team (CSIRT) erhielt einen Notruf von einer multinationalen Organisation. Wesentliche Teile ihres Netzwerks sei mit der Malware REvil (auch Sodinokibi-Malware genannt) verschlüsselt worden. Die Angreifer waren mittels einem Netzwerkprotokoll (rdp) über einen Windows-Server in das Netzwerk eingedrungen, welcher sich in der Microsoft Azure Cloud befand. Die Azure-Infrastruktur des Unternehmens war direkt mit dem internen Netzwerk verbunden. Die Angreifer verschafften sich anschliessend Zugang zu einem Domänen-Administratorkonto, mit dem sie nur 90 Minuten nach dem ersten Einbruch in das interne Netzwerk eindrangen.
Nur eineinhalb Tage nach dem ersten Einbruch, begannen die Angreifer mit der Exfiltrierung einer beträchtlichen Datenmenge auf einen FTP-Server. Nach nur einer Stunde folgte die Verschlüsselung des Netzwerks, beginnend mit den Domain-Controllern. Während der Angriff in vollem Gange war, zeichnete eine kürzlich installierte Netzwerküberwachungs-Appliance eine Reihe von Alarmen auf – zu diesem Zeitpunkt hatte noch niemand die Appliance überwacht! Das ist einer der Gründe, warum die Angreifer erfolgreich waren. Die Lösegeldforderung, die auf den verschlüsselten Rechnern gefunden wurde, zeigte auf eine Darknet-Adresse, über welche die Transaktion erfolgen sollte. Opfer können diese Plattform auch nutzen, um mit den Angreifern in Kontakt zu treten und so Beweise für die Exfiltration und weitere Informationen über den Angriff zu verlangen. Der Angriff dauerte somit weniger als 48 Stunden vom ersten Einbruch bis zur Verschlüsselung!
Was im Anschluss passierte und ob das Unternehmen die Lösegeldforderungen bezahlte, erzählt Ihnen Mathias Fuchs, Head of Investigation & Intelligence bei InfoGuard, in unserem Video.
Am häufigsten gelangt die Malware REvil/Sodinokibi über eine bösartige Phishing-E-Mail auf das Zielgerät. Die E-Mail enthält meist einen Link mit der Aufforderung, eine Zip-Datei herunterzuladen. In einer Zip-Datei hat es die Malware leichter, Antiviren-Schutzsysteme zu umgehen und sich somit schneller zu verbreiten. Die Malware REvil/Sodinokibi gehört zur Familie der «Ransomware-as-a-Service» Produkte und scheint mit der berüchtigten Gan Crab Malware verbunden zu sein. Das bedeutet, dass nicht nur direkt durch Erpressung Geld verdient wird, sondern auch durch den Verkauf von Kits, die es Angreifern ermöglichen, ihre eigene Ransomware zu erstellen und zu verteilen. Diese Eigenschaften machten REvil/Sodinokibi im letzten Quartal des vergangenen Jahres zur lukrativsten Ransomware, obwohl sie bereits zu Beginn des Jahres entdeckt worden war. Sie generierte fast acht Prozent mehr Einnahmen als die Ransomware Ryuk.
Wie hätten Sie reagiert, wenn sich diese Geschichte in Ihrem Unternehmen abgespielt hätte? Sie stimmen uns sicher bei, dass dieses Szenario den Worst Case darstellt – und Ihnen hoffentlich nie passieren wird! Trotzdem ist es sinnvoll, sich auf diesen Fall vorzubereiten. In solch einer hektischen Situation ist ein verlässlicher, erfahrener Partner unerlässlich, denn es gibt genügend andere Aufgaben, um die man sich kümmern muss. Nebst technischen Hürden gilt es, sich auch um die Kunden, Geschäftspartner und nicht zuletzt um die Mitarbeitenden sowie womöglich auch noch um die Öffentlichkeit zu kümmern.
Daher sollten Sie in der Lage sein, bei einem Vorfall schnell, professionell und geplant handeln zu können. Nur wie? Unser Incident Response Retainer ist hier die optimale und effektivste Lösung. In einem gemeinsamen Onboarding-Workshop bereiten wir Sie auf den Ernstfall vor. Sollte dieser eintreten, können wir zusammen mit Ihnen richtig reagieren: schnell, kompetent und mit viel Erfahrung – und das 24x7. Mehr zu unserem Incident Response Retainer erfahren Sie hier: