Den Sophos Forscher:innen ist ein interessanter Cyberfall ins Netz gegangen. Über fünf Monate zog sich ein Angriff auf Server samt anschließender Ransomware-Attacke mit Lockbit hin – zunächst von Cybernovizen vorbereitet, übernahmen im entscheidenden Moment die Profis das Ruder. Schlussendlich jedoch mit wenig Erfolg.

Sophos hat einen besonderen Cyberangriff aufgedeckt: Cyberkriminelle brachen in einen regionalen Regierungs-Server in den Vereinigten Staaten ein und verblieben dort fünf Monate. In dieser Zeit nutzten sie den Server, um online nach einem Mix aus Hacker- und IT-Administrations-Werkzeugen zu suchen, die ihnen beim Ausrollen einer Attacke helfen könnten. Die Angreifer:innen installierten außerdem einen Cryptominer, bevor sie Daten exfiltrierten und die Ransomware Lockbit einsetzten.

In „Attackers Linger on Government Agency Computers Before Deploying Lockbit Ransomware“ wird dieser Angriff noch einmal mit allen technischen Feinheiten beschrieben. Das Incident Response Team von Sophos, das die Attacke eindämmte und untersuchte, geht davon aus, dass mehrere Attacken den vulnerablen Server infiltrierten.

Andrew Brandt, Principal Security Researcher bei Sophos, gibt einen Einblick in den Angriff:

„Das war ein ziemlich chaotischer Angriff. In enger Zusammenarbeit mit dem Opfer waren die Forensik-Teams von Sophos in der Lage, sich ein Bild von dem Angriff zu machen. Zunächst scheinen es unerfahrene Cyberkriminelle zu sein, die in den Server einbrachen, im Netz herumstöberten und einen kompromittierten Server für die Recherche nach raubkopierten und freien Versionen von Hacker- und legitimen Admin-Tools einsetzten. All dies diente zur Vorbereitung der eigentlichen Attacke. Anschließend schienen sie unsicher in ihren nächsten Schritten zu werden. Ungefähr vier Monate nach dem anfänglichen Servereinbruch änderte sich die Art der Angriffsaktivität, in einigen Fällen sogar drastisch. Ab diesem Zeitpunkt konnte man von Cybergangstern mit ganz anderen Fähigkeiten ausgehen, die sich in den Kampf eingeschaltet hatten und die Sicherheitssoftware deinstallierten. Sie entwendeten möglicherweise Daten und verschlüsselten Dateien auf verschiedenen Geräten mithilfe der Ransomware Lockbit.“

Die Abfolge der Attacke: Anfänger legen vor, Profis übernehmen

Sophos fand heraus, dass der anfängliche Zugangspunkt für die Attacke ein offener Remote Desktop Protocol (RDP)-Port auf einer Firewall war, der für den öffentlichen Zugang zu einem Server konfiguriert wurde. Die Kriminellen brachen bereits im September 2021 in den Server ein und nutzten den vorhandenen Browser, um online nach legalen und illegalen Werkzeugen zu suchen. In einigen Fällen führte diese Suche die Eindringlinge zu dubiosen Download-Seiten, die Adware an den gehackten Server auslieferte anstatt der gesuchten Werkzeuge.

Die Untersuchungen zeigten eine signifikante Verhaltensänderung der Angreifer:innen ab Mitte Januar 2022: geschicktere und gezieltere Aktivitäten waren jetzt zu erkennen. Die Akteur:innen versuchten, den schädlichen Cryptominer wieder zu entfernen und deinstallierten Sicherheitssoftware. Hierbei nutzten sie eine Lücke aus, die das Opfer versehentlich nach Wartungsarbeiten mit einer deaktivierten Schutzfunktion offengelassen hatte. Anschließend sammelten und exfiltrierten sie Daten und installierten die Ransomware Lockbit. Der große Erfolg blieb aber aus, die Datenverschlüsselung scheiterte an einigen Geräten.

Netzwerkzugriffe so weit wie möglich zu blockieren

„Wenn IT-Teams Werkzeuge für externe Verbindungen oder Fernzugriffe nicht für einen bestimmten Grund installiert haben, sollten diese Tools auf keinem Gerät im Unternehmensnetzwerk vorhanden sein. Sind derartige Tools dennoch aktiv, weist dies auf einen laufenden oder bevorstehenden Angriff hin. Unerwartete oder ungewöhnliche Netzwerk-Aktivitäten, wie zum Beispiel ein Netzwerkscan, sind ebenfalls starke Indikatoren dafür, dass Fremde in das Netzwerk eingedrungen sind. Auch sich wiederholende RDP-Login-Fehler auf Geräte, die nur innerhalb des Netzwerks zugänglich sind, lassen ein Brute-Force-Tool vermuten, mit dem sich Cybergangster auf Schleichfahrt im Unternehmensnetz bewegen“, so Brandt. „Eine robuste, tiefgreifende und aktive 24/7–Verteidigung kann maßgeblich helfen, dass derartige Attacken gar nicht erst stattfinden oder sich im Unternehmensnetz entfalten. Der allerwichtigste erste Schritt ist es, die Angriffe vom Netzwerk fernzuhalten, zum Beispiel durch die Nutzung einer Multi-Faktor-Authentifizierung und einer Firewall-Konfiguration, die den Fernzugriff zu RDP-Ports ohne VPN-Verbindung blockieren.“

Einen besonders hohen Schutz können Unternehmen mit der Zero-Trust-Strategie erreichen. Das sehr hohe Sicherheitsniveau beruht darauf, dass grundsätzlich keinem Gerät und keinem Nutzer vertraut wird. Das Zero Trust-Prinzip bedeutet vereinfacht: Vertraue nichts und niemandem (schon gar nicht einem Netzwerk) und überprüfe alles. Infolgedessen gibt es kein automatisches Vertrauen oder Misstrauen innerhalb oder außerhalb des Perimeters. Es wird grundsätzlich verifiziert, wer zugreifen möchte und es wird geprüft, ob das zugreifende Gerät in Ordnung ist. Zudem wird Nutzern und Nutzerinnen ausschließlich genau der Zugriff auf die Ressourcen und Anwendungen gewährt, die für ihre Aufgaben benötigt werden.

Über die Sophos Technology GmbH

Sophos ist ein weltweit führender Anbieter von Next Generation Cybersecurity und schützt mehr als 500.000 Unternehmen und Millionen von Verbrauchern in mehr als 150 Ländern vor den modernsten Cyberbedrohungen. Basierend auf Threat Intelligence, KI und maschinellem Lernen aus den SophosLabs und von SophosAI bietet Sophos ein breites Portfolio an fortschrittlichen Produkten und Services, um Anwender, Netzwerke und Endpoints vor Ransomware, Malware, Exploits, Phishing und einer Vielzahl anderer Cyberattacken zu schützen. Sophos bietet mit Sophos Central eine einzige, integrierte und cloudbasierte Management-Konsole. Sie ist das Herzstück eines anpassungsfähigen Cybersecurity-Ökosystems mit einem zentralen Data Lake, der eine Vielzahl offener API-Schnittstellen bedient, die Kunden, Partnern, Entwicklern und anderen Cybersecurity-Anbietern zur Verfügung stehen. Sophos vertreibt seine Produkte und Services über Partner und Managed Service Provider (MSPs) weltweit. Der Sophos-Hauptsitz ist in Oxford, U.K. Weitere Informationen unter http://www.sophos.de.

Firmenkontakt und Herausgeber der Meldung:

Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de

Ansprechpartner:
Jörg Schindler
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
Arno Lücht
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
Thilo Christ
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
Ariane Wendt
TC Communications
Telefon: +49 (172) 4536839
E-Mail: sophos@tc-communications.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel