InfoGuard Cyber Security & Cyber Defence Blog

[Video] Warnung: Gezielte Angriffe auf Schweizer Unternehmen

Geschrieben von Mathias Fuchs | 28. Jul 2019

Seit einigen Wochen überrollt eine Welle von sehr gezielten Angriffen auf mittlere und grosse Unternehmen die Schweiz. Die dabei geforderten Lösegelder bewegen sich zwischen CHF 19'000 bis CHF 5'655'000. Damit nicht auch Sie darauf reinfallen, haben unsere Cyber Security-Experten das typische, oftmals identische Vorgehen für Sie dokumentiert:

 

Das Vorgehen der Angreifer

  1. Durch teils sehr aufwändig gefälschte Phishing-E-Mails werden die Mitarbeitenden dazu verleitet, ein infiziertes Attachment zu öffnen oder auf einen bösartigen Link zu klicken. Alternativ verschaffen sich die Angreifer Zugriff auf exponierte Terminal Server, welche über das Internet erreichbar sind.
  2. Der Angreifer erlangt so die Kontrolle über den entsprechenden Endpunkt im internen Netzwerk des Opfers.
  3. Von dort aus bewegt sich der Angreifer, ähnlich wie einige APT-Gruppen es tun, durch das Netzwerk. Dabei erhöht er seine Privilegien, bis ihm ein Domänen-Administratoraccount zur Verfügung steht.
  4. Mit diesem Account bewegt sich der Angreifer auf dem Domaincontroller und überprüft dort nochmals, auf welche weiteren Endgeräte er Zugriff hat. Zusätzlich wird die gesamte Benutzerdatenbank aus dem Domaincontroller extrahiert. Damit ist es dem Angreifer auch zu einem späteren Zeitpunkt möglich, sich erneut Zugang zum Netzwerk des Opfers zu verschaffen, sofern nicht die richtigen Gegenmassnahmen getroffen werden.
  5. Vom Domaincontroller ausgehend, verteilt der Angreifer Verschlüsselungs-Malware an wichtige Server und Clients im Unternehmen und führt diese aus. Auf den betroffenen Rechnern erscheint anschliessend eine Nachricht, welche das Opfer auffordert, mit dem Erpresser in Kontakt zu treten.


Die Malware, die die Angreifer einsetzen, ist von Fall zu Fall unterschiedlich. Einige der untersuchten Fälle zeigten eine Kombination aus mehreren der folgenden Malware-Produkte:

  • Emotet
  • Trickbot
  • Ryuk
  • Cobalt Strike
  • Metasploit
  • MegaC0rtex
  • QBot

 

In diesem Video erfahren Sie kurz und knapp das Wichtigste zu den aktuellen Cyberattacken:

Was können Sie dagegen unternehmen?

Um Vorfälle wie diese zu verhindern ist es unumgänglich, jeden Mitarbeitenden im sicheren Umgang mit der IT-Infrastruktur und im Speziellen mit E-Mails sowie deren Anhänge zu schulen, beispielsweise Word-Dokumente mit Makros. Jedes Unternehmen sollte daher entsprechende Security Awareness-Massnahmen tätigen. Nur so kann ein Vorfall schon in einer frühen Phase gestoppt werden. 

Unser InfoGuard Cyber Defence Center hilft Ihnen zudem, frühzeitig zu reagieren und die Angriffskette zu unterbrechen, bevor erheblicher Schaden entsteht.

InfoGuard unterstützt Sie im Falle eines Security Incidents schnell, kompetent und erfahren!

Heutzutage ist niemand mehr vor Cyberangriffen sicher – auch Sie kann es jederzeit treffen. Falls Sie befürchten auch betroffen zu sein, melden Sie sich frühzeitig, um den grössten Schaden zu verhindern. Unsere erfahrenen Spezialisten im Cyber Defence Center kümmern sich um Sie – und das 24x7. Sollten Sie also einen Incident haben, melden Sie sich bei uns!