Contact
QR code for the current URL

Story Box-ID: 1017972

8com GmbH & Co. KG Europastraße 32 67433 Neustadt an der Weinstraße, Germany http://www.8com.de
Contact Mr Kent Gaertner +49 30 3030808913
Company logo of 8com GmbH & Co. KG

Chronik eines Ransomware-Angriffs

(PresseBox) (Neustadt an der Weinstraße, )
Der tägliche Blick in die Zeitung zeigt: Immer mehr Unternehmen haben mit Ransomware-Angriffen zu kämpfen. Doch wie genau sich Angreifer Zugang zu den Netzwerken verschaffen, darüber herrscht in vielen Fällen immer noch Unklarheit. Die Sicherheitsforscher von AT&T haben nun einen von ihnen begleiteten Fall detailliert nachgezeichnet. Opfer war ein nicht näher genanntes Lebensmittelunternehmen, das sich dazu entschied, das Lösegeld nicht zu zahlen, sondern das Netzwerk mit Hilfe von Experten wiederherzustellen. Das gelang innerhalb von nur 48 Stunden.

Der Angriff begann mit einer Phishing-Kampagne, in deren Rahmen einem Mitarbeiter des Unternehmens ein Microsoft Word-Dokument zugeschickt wurde. Dieses war als Rechnung getarnt und sollte heruntergeladen werden. Das tat der nichtsahnende Mitarbeiter und setzte damit eine Reihe von Ereignissen in Gang. Zuerst wurde ein PowerShell-Befehl ausgeführt, wodurch der Trojaner Emotet heruntergeladen wurde. Hatte dieser im Netzwerk Fuß gefasst, begann die die Trickbot-Malware damit, Anmeldeinformationen zu Nutzerkonten und Cloud-Diensten auszuspionieren, um so Zugriff auf andere Teile des Netzwerks zu erhalten. Im vorliegenden Fall verschafften sich die Kriminellen durch dieses mehrstufige Vorgehen Zugriff auf mehr als die Hälfte des Unternehmensnetzwerks, bevor sie schließlich im dritten Schritt die Ransomware Ryuk aufspielten.

Das Unternehmen im Fallbeispiel hatte dabei jedoch noch Glück im Unglück: Ryuk kompromittierte nicht das gesamte Netzwerk. Nach rund 60 Prozent war Schluss, nachdem die hinzugezogenen IT-Sicherheitsleute den Angriff eindämmen konnten. Betroffen waren jedoch auch die Bestellabwicklung und die Abrechnung. Trotzdem entschied das Opfer, den Forderungen der Kriminellen nicht nachzugeben und die Sicherheitsexperten ihre Arbeit tun zu lassen. So gelang es, nach nur 48 Stunden einen Großteil der IT-Infrastruktur wieder zum Laufen zu bringen. Entscheidend für diesen glimpflichen Ausgang waren die schnelle Reaktionszeit des Unternehmens sowie die Fähigkeit der Sicherheitsexperten, den Angriff einzudämmen.

In ihrer Fallstudie zeigen die Experten nicht nur den Ablauf eines solchen Angriffs. Mindestens ebenso interessant sind die beschriebenen Sicherheitslücken, die die Kriminellen ausgenutzt haben. Sowohl Emotet als auch Trickbot und Ryuk nutzen Sicherheitslücken, die bereits seit geraumer Zeit bekannt sind und für die es längst Sicherheitspatches gibt. Wären diese eingespielt worden, wäre der Angriff nicht möglich gewesen. Hinzu kommt, dass die im Unternehmen verwendeten Passwörter nicht sicher waren und keine Multi-Faktor-Authentifizierung genutzt wurde. Auch die Deaktivierung von PowerShell-Befehlen für alle Nutzer, die diese nicht zwingend für ihre Arbeit benötigen, hätte dem Angriff zu einem frühen Zeitpunkt einen Riegel vorschieben können. Und zu guter Letzt besteht auch noch die Sicherheitslücke Mensch im Unternehmen, die nur durch Aufklärung über die Gefahren im Netz und regelmäßige Schulungen zu schließen ist.

8com GmbH & Co. KG

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.

8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 15 Jahren ist das Ziel von 8com, Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.