Conti-Ransomware-Angriff im Live-Report

Conti-Ransomware im Live-Report

Beitrag teilen

Fünf Tage auf Tuchfühlung mit der Conti-Ransomware: Sophos beschreibt in drei Reports detailliert das Vorgehen einer realen Conti-Ransomware-Attacke und wie sie gestoppt wurde. Mit dabei: Angriffsverhalten, technische Hintergründe und praktische Tipps für IT-Administratoren.

Conti-Ransomware-Attacken, die vermehrt seit Mitte letzten Jahres ihr Unwesen treiben, sind ein eindrückliches Beispiel dafür, wie Cyberkriminelle mit moderner und ausgebuffter Technologie gezielt ihren Angriff planen und damit ihre Erfolgschancen stark verbessern, erfolgreich in Unternehmensnetzwerke einzudringen. In drei detaillierten Reports beschreibt das Sophos-Rapid-Response-Team eine reale Attacke und den Verlauf über fünf Tage hinweg: „Dies war ein sehr schneller und potenziell verheerender Angriff”, sagt Peter Mackenzie, Manager von Sophos Rapid Response. „Bei unserer forensischen Aufarbeitung haben wir gesehen, dass die Angreifer Lücken in der Firewall ausnutzten, um in nur 16 Minuten das Netzwerk zu kompromittieren und Zugriff auf die Domain-Administrationsdaten zu erhalten. Danach setzten die Angreifer Cobalt Strike Agents auf den Servern ein, die das Rückgrat des Ransomware-Angriffs bilden sollten.“

Cyber-Attacker live an der Tastatur

Das Besondere an diesem Angriff war, dass die Cyberkriminellen ihn eigenhändig steuerten und nicht alles einer automatisierten Routine überließen. Bei diesen von Menschenhand gesteuerten Attacken können sich die Angreifer anpassen und in Echtzeit auf veränderte Situationen reagieren. Dank solcher Flexibilität haben diese Attacken höhere Erfolgschancen und Opfer können sich nicht in Sicherheit wiegen, nur weil ein erster Angriffsversuch entdeckt und vereitelt wurde. Denn dann passiert, was im folgenden Tagebuch einer realen Conti-Ransomware-Attacke beschreiben wird – zum Glück in diesem Fall mit Happy End.

Attacke Tag 1

Die Angreifer durchdringen die Firewall und benötigen nur 16 Minuten, um auf zwei Servern des Opfers den Admin-Account zu kapern. Im Anschluss setzen sie einen Cobalt Strike Agent auf dem ersten Server ein, bis dieser Angriff vom Opfer entdeckt und gestoppt wird. Nur 15 Minuten später wiederholen die Angreifer ihre Aktion auf dem zweiten Server, und diese Attacke wird nicht bemerkt. Einmal den Fuß in der Tür, begeben sich die Angreifer auf „Schleichfahrt“ durch das Firmennetzwerk des Opfers und infizierten einen dritten Server.

Attacke  Tag 2

Es werden keine Angriffsaktivitäten vom Opfer bemerkt.

Attacke  Tag 3

Die Angreifer sehen sich rund zehn Stunden lang nach Dateiordnern mit potenziell interessanten Informationen um und ziehen diese mit Hilfe des legitimen Open-Source-Management-Tools RClone, das unbemerkt auf dem dritten gekaperten Server installiert wurde, ab. Unter anderem sind Daten aus der Finanz-, HR- und IT-Abteilung betroffen.

Attacke  Tag 4

Die Angreifer nutzen ihr aus Tag 1 gesammeltes Wissen über die Endpoint- und Serverstruktur und installieren zunächst einen Cobalt Strike Agent auf einem vierten Server, um die Ransomware zu testen. Nach der Erfolgsmeldung installieren sie Cobalt Strike auf nahezu 300 Geräten und starten nach weiteren 40 Minuten die Conti-Ransomware. Dabei laden die kompromittierten Endpoints den Code von verschiedenen Command&Control-Adressen und führen diesen aus. Das perfide dabei: Es werden keine Daten auf die Festplatten geschrieben, sondern die Ransomware direkt im Arbeitsspeicher ausgeführt, um einer Entdeckung zu entgehen. In der Folge versucht die Ransomware drei Stunden lang Daten zu verschlüsseln, wird auf den mit Sophos Intercept X geschützten Rechnern allerdings trotz der Verschleierungstaktik geblockt. Das angegriffene Unternehmen kappt nun die Internetverbindung mit Ausnahme der Sophos-Anwendung, fährt die kritische Infrastruktur herunter und stoppt die Arbeitsprozesse. Das Sophos Rapid-Response-Team wird hinzugezogen, identifiziert die infizierten Endpoints und Server, stoppt die verschiedenen Angriffsprozesse und beginnt, kompromittierte Bereiche wieder herzustellen.

Attacke Tag 5

Die Rapid-Response-Eingreiftruppe identifiziert bei ihren abschließenden Recherchearbeiten eine zweite, potenzielle Datenexfiltrierung, einen zweiten kompromittierten Account sowie verdächtigen RDP-Traffic (Remote Desktop Protocol) durch die anfällige Firewall. Gleichzeitig stellt das Opfer die ungesicherten Endpoints wieder her und fährt die kritische Infrastruktur hoch.

Die Moral von der Geschichte

Oft sind es die IT-Administratoren, die bei einem Ransomware-Angriff in der direkten Schusslinie stehen. Sie sind diejenigen, die morgens zur Arbeit kommen und alles verschlüsselt samt einer Lösegeldforderung vorfinden. Basierend auf den Erfahrungen seines Rapid-Response-Teams hat Sophos eine Aktionsliste entwickelt, um die herausfordernden ersten Stunden und die folgenden Tage eines Ransomware-Angriffs bestmöglich zu meistern.

  • Abschalten des Remote-Desktop-Protokolls (RDP) zum Internet, um Cyberkriminellen den Zugriff auf Netzwerke zu verwehren.
  • Wenn der Zugriff auf RDP unbedingt nötigt ist, sollte dieser über eine VPN-Verbindung abgesichert sein.
  • Mehrschichtige Sicherheitsmaßnahmen – einschließlich EDR-Funktionen (Endpoint Detection and Response) und Managed-Response-Teams für die 24/7-Überwachung der Netzwerke – verhindern Angriffe und tragen maßgeblich zum Schutz und zur Erkennung von Cyberangriffen bei.
  • Ständiges Monitoring bekannter Frühindikatoren, die Ransomware-Angriffen oftmals vorausgehen.
  • Anlegen eines Incident-Response-Plans, der kontinuierlich mit den Veränderungen der IT-Infrastruktur und des Unternehmens aktualisiert werden sollte.
  • Externe Experten können hierbei mit viel Erfahrung exzellente Hilfeleistung bieten.

Drei Conti-Ransomware-Reports von Sophos

In den drei Reports von Sophos wird die Conti-Ransomware-Attacke aus unterschiedlichen Blickwinkeln beschrieben und es werden konkrete Handlungsanweisungen für den Fall eines Angriffs gegeben. Die englischsprachigen Berichte stehen unter den folgenden Links zum Download bereit:

Zeitliche Ablauf einer Conti-Ransomware-Attacke:

A Conti Ransomware Attack Day-by-Day

Technische Beschreibung der SophosLabs zur evasiven Natur der Conti-Ransomware:

Conti Ransomware: Evasive by Nature

Anleitung inklusive einer 12-Punkte-Checkliste für IT-Administratoren, um eine Attacke zu bewältigen:

What to Expect When You’ve Been Hit with Conti Ransomware

Mehr dazu bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

NIS2 und die Sicherheitspflicht: E-Mail-Verschlüsselung

E-Mail-Verschlüsselung ist zwar nicht explizit als eigenes Thema in der NIS2-Richtlinie genannt, aber sie fällt unter die allgemeinen Anforderungen zur ➡ Weiterlesen

Drei Viertel der Opfer von Ransomware zahlen Lösegeld

Eine internationale Umfrage unter 900 IT- und Security-Verantwortlichen zeigt, dass 83 Prozent der Unternehmen im vergangenen Jahr Ziel von Ransomware-Angriffen ➡ Weiterlesen

Ransomware: Überdurchschnittlich viele Angriffe im Bildungssektor

Die Zahl kompromittierter Backups sowie die Datenverschlüsselungsraten durch Ransomware im Bildungssektor sind im Vergleich zum Vorjahr gestiegen. Die Wiederherstellungskosten nach ➡ Weiterlesen

NIS2-Richtlinie: Umsetzung mit Führungskräften kommunizieren

Ein kostenloses Whitepaper unterstützt CISOs dabei, die Sprache der Führungskräfte zu sprechen, um die Umsetzung der NIS2-Richtlinie im Unternehmen voranzubringen ➡ Weiterlesen

Ransomware-Attacken: 6 von 10 Unternehmen angegriffen

Die Bitkom hat mehr als 1.000 Unternehmen in Deutschland befragt: Mehr als die Hälfte der Unternehmen werden Opfer von Ransomware-Attacken ➡ Weiterlesen

NIS2 tritt bald in Kraft – 5 Tipps um sich Vorzubereiten

Im Oktober soll die EU-Richtlinie NIS2 in Deutschland in Kraft treten. Sie verpflichtet viele Unternehmen zu höheren Cybersicherheitsvorkehrungen. Deshalb ist ➡ Weiterlesen

Weltweite Gefahr: Schwachstellen bei Photovoltaikplattform

Wie die Experten der Bitdefender Labs festgestellt haben, sind Stromausfälle möglich durch Angriffe auf Photovoltaik-Wechselrichter und -Management-Plattformen. Eine Schwachstelle wurde erst im ➡ Weiterlesen

30 Prozent mehr Ransomware-Angriffe in Deutschland

In seinem diesjährigen State of Ransomware-Report „ThreatDown 2024 State of Ransomware“ zeigt Malwarebytes einen alarmierenden Anstieg von Ransomware-Angriffen im vergangenen ➡ Weiterlesen