Contact
QR code for the current URL

Story Box-ID: 1107991

Sophos Technology GmbH Gustav-Stresemann-Ring 1 65189 Wiesbaden, Germany http://www.sophos.de
Contact Mr Thilo Christ +49 8081 954617

Effektive Arbeitsteilung oder Anzucht von Cybercrime-Novizen?

Nach eher stümperhafter Netzwerkinfiltration übernehmen Profis mit Lockbit Ransomware

(PresseBox) (Wiesbaden, )
Den Sophos Forscher:innen ist ein interessanter Cyberfall ins Netz gegangen. Über fünf Monate zog sich ein Angriff auf Server samt anschließender Ransomware-Attacke mit Lockbit hin – zunächst von Cybernovizen vorbereitet, übernahmen im entscheidenden Moment die Profis das Ruder. Schlussendlich jedoch mit wenig Erfolg.

Sophos hat einen besonderen Cyberangriff aufgedeckt: Cyberkriminelle brachen in einen regionalen Regierungs-Server in den Vereinigten Staaten ein und verblieben dort fünf Monate. In dieser Zeit nutzten sie den Server, um online nach einem Mix aus Hacker- und IT-Administrations-Werkzeugen zu suchen, die ihnen beim Ausrollen einer Attacke helfen könnten. Die Angreifer:innen installierten außerdem einen Cryptominer, bevor sie Daten exfiltrierten und die Ransomware Lockbit einsetzten.

In „Attackers Linger on Government Agency Computers Before Deploying Lockbit Ransomware“ wird dieser Angriff noch einmal mit allen technischen Feinheiten beschrieben. Das Incident Response Team von Sophos, das die Attacke eindämmte und untersuchte, geht davon aus, dass mehrere Attacken den vulnerablen Server infiltrierten.

Andrew Brandt, Principal Security Researcher bei Sophos, gibt einen Einblick in den Angriff:

„Das war ein ziemlich chaotischer Angriff. In enger Zusammenarbeit mit dem Opfer waren die Forensik-Teams von Sophos in der Lage, sich ein Bild von dem Angriff zu machen. Zunächst scheinen es unerfahrene Cyberkriminelle zu sein, die in den Server einbrachen, im Netz herumstöberten und einen kompromittierten Server für die Recherche nach raubkopierten und freien Versionen von Hacker- und legitimen Admin-Tools einsetzten. All dies diente zur Vorbereitung der eigentlichen Attacke. Anschließend schienen sie unsicher in ihren nächsten Schritten zu werden. Ungefähr vier Monate nach dem anfänglichen Servereinbruch änderte sich die Art der Angriffsaktivität, in einigen Fällen sogar drastisch. Ab diesem Zeitpunkt konnte man von Cybergangstern mit ganz anderen Fähigkeiten ausgehen, die sich in den Kampf eingeschaltet hatten und die Sicherheitssoftware deinstallierten. Sie entwendeten möglicherweise Daten und verschlüsselten Dateien auf verschiedenen Geräten mithilfe der Ransomware Lockbit.“

Die Abfolge der Attacke: Anfänger legen vor, Profis übernehmen

Sophos fand heraus, dass der anfängliche Zugangspunkt für die Attacke ein offener Remote Desktop Protocol (RDP)-Port auf einer Firewall war, der für den öffentlichen Zugang zu einem Server konfiguriert wurde. Die Kriminellen brachen bereits im September 2021 in den Server ein und nutzten den vorhandenen Browser, um online nach legalen und illegalen Werkzeugen zu suchen. In einigen Fällen führte diese Suche die Eindringlinge zu dubiosen Download-Seiten, die Adware an den gehackten Server auslieferte anstatt der gesuchten Werkzeuge.

Die Untersuchungen zeigten eine signifikante Verhaltensänderung der Angreifer:innen ab Mitte Januar 2022: geschicktere und gezieltere Aktivitäten waren jetzt zu erkennen. Die Akteur:innen versuchten, den schädlichen Cryptominer wieder zu entfernen und deinstallierten Sicherheitssoftware. Hierbei nutzten sie eine Lücke aus, die das Opfer versehentlich nach Wartungsarbeiten mit einer deaktivierten Schutzfunktion offengelassen hatte. Anschließend sammelten und exfiltrierten sie Daten und installierten die Ransomware Lockbit. Der große Erfolg blieb aber aus, die Datenverschlüsselung scheiterte an einigen Geräten.

Netzwerkzugriffe so weit wie möglich zu blockieren

„Wenn IT-Teams Werkzeuge für externe Verbindungen oder Fernzugriffe nicht für einen bestimmten Grund installiert haben, sollten diese Tools auf keinem Gerät im Unternehmensnetzwerk vorhanden sein. Sind derartige Tools dennoch aktiv, weist dies auf einen laufenden oder bevorstehenden Angriff hin. Unerwartete oder ungewöhnliche Netzwerk-Aktivitäten, wie zum Beispiel ein Netzwerkscan, sind ebenfalls starke Indikatoren dafür, dass Fremde in das Netzwerk eingedrungen sind. Auch sich wiederholende RDP-Login-Fehler auf Geräte, die nur innerhalb des Netzwerks zugänglich sind, lassen ein Brute-Force-Tool vermuten, mit dem sich Cybergangster auf Schleichfahrt im Unternehmensnetz bewegen“, so Brandt. „Eine robuste, tiefgreifende und aktive 24/7–Verteidigung kann maßgeblich helfen, dass derartige Attacken gar nicht erst stattfinden oder sich im Unternehmensnetz entfalten. Der allerwichtigste erste Schritt ist es, die Angriffe vom Netzwerk fernzuhalten, zum Beispiel durch die Nutzung einer Multi-Faktor-Authentifizierung und einer Firewall-Konfiguration, die den Fernzugriff zu RDP-Ports ohne VPN-Verbindung blockieren.“

Einen besonders hohen Schutz können Unternehmen mit der Zero-Trust-Strategie erreichen. Das sehr hohe Sicherheitsniveau beruht darauf, dass grundsätzlich keinem Gerät und keinem Nutzer vertraut wird. Das Zero Trust-Prinzip bedeutet vereinfacht: Vertraue nichts und niemandem (schon gar nicht einem Netzwerk) und überprüfe alles. Infolgedessen gibt es kein automatisches Vertrauen oder Misstrauen innerhalb oder außerhalb des Perimeters. Es wird grundsätzlich verifiziert, wer zugreifen möchte und es wird geprüft, ob das zugreifende Gerät in Ordnung ist. Zudem wird Nutzern und Nutzerinnen ausschließlich genau der Zugriff auf die Ressourcen und Anwendungen gewährt, die für ihre Aufgaben benötigt werden.

Website Promotion

Website Promotion

Sophos Technology GmbH

Sophos ist ein weltweit führender Anbieter von Next Generation Cybersecurity und schützt mehr als 500.000 Unternehmen und Millionen von Verbrauchern in mehr als 150 Ländern vor den modernsten Cyberbedrohungen. Basierend auf Threat Intelligence, KI und maschinellem Lernen aus den SophosLabs und von SophosAI bietet Sophos ein breites Portfolio an fortschrittlichen Produkten und Services, um Anwender, Netzwerke und Endpoints vor Ransomware, Malware, Exploits, Phishing und einer Vielzahl anderer Cyberattacken zu schützen. Sophos bietet mit Sophos Central eine einzige, integrierte und cloudbasierte Management-Konsole. Sie ist das Herzstück eines anpassungsfähigen Cybersecurity-Ökosystems mit einem zentralen Data Lake, der eine Vielzahl offener API-Schnittstellen bedient, die Kunden, Partnern, Entwicklern und anderen Cybersecurity-Anbietern zur Verfügung stehen. Sophos vertreibt seine Produkte und Services über Partner und Managed Service Provider (MSPs) weltweit. Der Sophos-Hauptsitz ist in Oxford, U.K. Weitere Informationen unter http://www.sophos.de.

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.