Effektive Arbeitsteilung oder Anzucht von Cybercrime-Trainees? Nach einer eher stümperhafter Netzwerkinfiltration übernehmen abschließend die Profis mit Lockbit Ransomware. Den Sophos Forscher ist ein interessanter Cyberfall ins Netz gegangen.
Sophos hat einen besonderen Cyberangriff aufgedeckt: Cyberkriminelle brachen in einen regionalen Regierungs-Server in den Vereinigten Staaten ein und verblieben dort fünf Monate. In dieser Zeit nutzten sie den Server, um online nach einem Mix aus Hacker- und IT-Administrations-Werkzeugen zu suchen, die ihnen beim Ausrollen einer Attacke helfen könnten. Die Angreifer:innen installierten außerdem einen Cryptominer, bevor sie Daten exfiltrierten und die Ransomware Lockbit einsetzten.
Attacke dauerte über 5 Monate an
In „Attackers Linger on Government Agency Computers Before Deploying Lockbit Ransomware“ wird dieser Angriff noch einmal mit allen technischen Feinheiten beschrieben. Das Incident Response Team von Sophos, das die Attacke eindämmte und untersuchte, geht davon aus, dass mehrere Attacken den vulnerablen Server infiltrierten.
Andrew Brandt, Principal Security Researcher bei Sophos, gibt einen Einblick in den Angriff
„Das war ein ziemlich chaotischer Angriff. In enger Zusammenarbeit mit dem Opfer waren die Forensik-Teams von Sophos in der Lage, sich ein Bild von dem Angriff zu machen. Zunächst scheinen es unerfahrene Cyberkriminelle zu sein, die in den Server einbrachen, im Netz herumstöberten und einen kompromittierten Server für die Recherche nach raubkopierten und freien Versionen von Hacker- und legitimen Admin-Tools einsetzten. All dies diente zur Vorbereitung der eigentlichen Attacke. Anschließend schienen sie unsicher in ihren nächsten Schritten zu werden. Ungefähr vier Monate nach dem anfänglichen Servereinbruch änderte sich die Art der Angriffsaktivität, in einigen Fällen sogar drastisch. Ab diesem Zeitpunkt konnte man von Cybergangstern mit ganz anderen Fähigkeiten ausgehen, die sich in den Kampf eingeschaltet hatten und die Sicherheitssoftware deinstallierten. Sie entwendeten möglicherweise Daten und verschlüsselten Dateien auf verschiedenen Geräten mithilfe der Ransomware Lockbit.“
Anfänger legen vor, Profis übernehmen
Sophos fand heraus, dass der anfängliche Zugangspunkt für die Attacke ein offener Remote Desktop Protocol (RDP)-Port auf einer Firewall war, der für den öffentlichen Zugang zu einem Server konfiguriert wurde. Die Kriminellen brachen bereits im September 2021 in den Server ein und nutzten den vorhandenen Browser, um online nach legalen und illegalen Werkzeugen zu suchen. In einigen Fällen führte diese Suche die Eindringlinge zu dubiosen Download-Seiten, die Adware an den gehackten Server auslieferte anstatt der gesuchten Werkzeuge.
Die Untersuchungen zeigten eine signifikante Verhaltensänderung der Angreifer:innen ab Mitte Januar 2022: geschicktere und gezieltere Aktivitäten waren jetzt zu erkennen. Die Akteur:innen versuchten, den schädlichen Cryptominer wieder zu entfernen und deinstallierten Sicherheitssoftware. Hierbei nutzten sie eine Lücke aus, die das Opfer versehentlich nach Wartungsarbeiten mit einer deaktivierten Schutzfunktion offengelassen hatte. Anschließend sammelten und exfiltrierten sie Daten und installierten die Ransomware Lockbit. Der große Erfolg blieb aber aus, die Datenverschlüsselung scheiterte an einigen Geräten.
Netzwerkzugriffe so weit wie möglich zu blockieren
„Wenn IT-Teams Werkzeuge für externe Verbindungen oder Fernzugriffe nicht für einen bestimmten Grund installiert haben, sollten diese Tools auf keinem Gerät im Unternehmensnetzwerk vorhanden sein. Sind derartige Tools dennoch aktiv, weist dies auf einen laufenden oder bevorstehenden Angriff hin. Unerwartete oder ungewöhnliche Netzwerk-Aktivitäten, wie zum Beispiel ein Netzwerkscan, sind ebenfalls starke Indikatoren dafür, dass Fremde in das Netzwerk eingedrungen sind. Auch sich wiederholende RDP-Login-Fehler auf Geräte, die nur innerhalb des Netzwerks zugänglich sind, lassen ein Brute-Force-Tool vermuten, mit dem sich Cybergangster auf Schleichfahrt im Unternehmensnetz bewegen“, so Brandt. „Eine robuste, tiefgreifende und aktive 24/7–Verteidigung kann maßgeblich helfen, dass derartige Attacken gar nicht erst stattfinden oder sich im Unternehmensnetz entfalten. Der allerwichtigste erste Schritt ist es, die Angriffe vom Netzwerk fernzuhalten, zum Beispiel durch die Nutzung einer Multi-Faktor-Authentifizierung und einer Firewall-Konfiguration, die den Fernzugriff zu RDP-Ports ohne VPN-Verbindung blockieren.“
Zero-Trust-Strategie würde helfen
Einen besonders hohen Schutz können Unternehmen mit der Zero-Trust-Strategie erreichen. Das sehr hohe Sicherheitsniveau beruht darauf, dass grundsätzlich keinem Gerät und keinem Nutzer vertraut wird. Das Zero Trust-Prinzip bedeutet vereinfacht: Vertraue nichts und niemandem (schon gar nicht einem Netzwerk) und überprüfe alles. Infolgedessen gibt es kein automatisches Vertrauen oder Misstrauen innerhalb oder außerhalb des Perimeters. Es wird grundsätzlich verifiziert, wer zugreifen möchte und es wird geprüft, ob das zugreifende Gerät in Ordnung ist. Zudem wird Nutzern und Nutzerinnen ausschließlich genau der Zugriff auf die Ressourcen und Anwendungen gewährt, die für ihre Aufgaben benötigt werden.
Mehr bei Sophos.com
Über Sophos Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.