Hackerangriff von Ransom Cartel am Kundenbeispiel

ANGRIFFSSZENARIO von Ransom Cartel

Bei einem Angriff der Hackergruppe Ransom Cartel sollte für die Herausgabe von Daten ein Lösegeld in Höhe von mehreren Million Euro gezahlt werden.

Akteure

Betroffen: Mittelständisches Unternehmen mit 1.500 Mitarbeitern

Angreifer: Ransom Cartel, eine kriminelle Hackergruppierung, die durch Datendiebstahl Lösegeldzahlungen erpresst und mit der Weitergabe oder der Veröffentlichung der geleakten Daten droht (Ransomware oder Erpressertrojaner).

Angriffsszenario

Es ist Samstag, 16 Uhr, Mitte Dezember. Das betroffene Unternehmen versucht seit 5 Stunden eine aufgetretene Störung eigenständig zu lösen, bevor sie schlussendlich ihren IT-Dienstleister (Artada) kontaktieren. Einem Mitarbeiter ist aufgefallen, dass das System „komisch“ reagiert. Schnell ist klar, dass es sich hierbei um einen Hackerangriff handelt.

Das Unternehmen kann nicht sagen, wie viele Daten bis dato abgeflossen sind. Erst als die „Gegenseite sich meldet“ wird dies ersichtlich. Das Erpresserschreiben kommt Mitte Januar (scheinbar feiern auch Kriminelle Weihnachten und den Jahreswechsel). Normalerweise geht das wesentlich schneller.
Aus der Mail geht hervor, welche Summe für die Daten verlangt wird. Die Seite mit den abgeflossenen Daten lässt sich über einen Link erreichen, womit das Ausmaß sichtbar wird: es handelt sich um eine Datenmenge von ca. 250 gb. Bei Nichtzahlung werden die Daten an die Konkurrenz weitergegeben oder veröffentlicht.

Hinweis: Man kann durchaus versuchen zu verhandeln und eine Summe von 3 Millionen auf 2 zu senken.

Ein Normalbetrieb ist in dem Unternehmen ab Mitte Februar wieder möglich. Davor ist der Betrieb eingeschränkt. Die Produktion läuft: Glück gehabt!

Ein Angriff im Unternehmen bleibt bis zu 55 Tage unentdeckt.

IT-Forensik: Aufklärung des Cyberangriffs

Wahrscheinlich war es den Hackern gelungen über Social Engineering an personenbezogene Daten zu gelangen und so mit Hilfe von Login-Daten ins System zu kommen.
Es wurde eine Fernwartungssoftware installiert. Über diese sind sehr langsam über einen Zeitraum von einigen Wochen besonders kleine Datenmengen abgeflossen. Der IT fällt es im Protokoll nicht auf, dafür sind die Datenmengen zu klein.

Mit dieser Software kommen Hacker auch an lokal gespeicherte Daten, die auf dem Desktop oder auf der Festplatte liegen. Ebenso kann dadurch jeder Bildschirm übertragen werden.
So ein Dienst läuft heimlich im Hintergrund. Die Installation geht im Stress des Arbeitsalltags unter – könnte aber der Administration auffallen.

In diesem speziellen Fall ist den Hackern ein Fehler unterlaufen. In dem Moment als sie den Knopf drückten, um die Daten zu verschlüsseln, haben sie sich selbst die Tür zugeschlagen. Es fand eine Verschlüsselung der Domain Controller und der Virtualisierungshosts statt. Die Fileserver wurden nicht verschlüsselt, somit auch in großen Teilen die virtuellen Festplatten, auf denen die Daten der Server liegen. Die Backdoor war zu, die Hacker waren ausgesperrt.

Es wurde kein Lösegeld gezahlt!

„Es ist eine allgemeine Empfehlung, besonders der Behörden, kein Lösegeld zu zahlen. In diesem Fall war es eine sehr schnelle Entscheidung der Geschäftsführung.“

Learning

Schwachstellen innerhalb des Unternehmens: 

  • 22 % der Server waren nicht geschützt – ein offenes Tor für jeden Hackerangriff
  • Der CryptoGuard (blockiert Ransomware) wurde aus Performance Gründen auf den Servern deaktiviert
  • Die Firewall hatte 10 Jahre kein Update mehr erhalten

Schnelle Reaktion! Gut organisierte Kriminelle sollten auf ein gut organisiertes Gegenüber treffen.

Empfehlungen

  • Sobald Sie etwas bemerken (ungewöhnliche Langsamkeit des Rechners oder Dienste, die nicht mehr funktionieren), ziehen Sie sofort die Logs, um Spuren zu sichern.
  • Trennen Sie den Rechner nicht vom Strom. Ziehen Sie lediglich das Netzwerkkabel.
  • Haben Sie eine Cyberversicherung? Informieren Sie diese unverzüglich.
  • Gibt es ein Notfallhandbuch?
  • Setzen Sie Prioritäten: Suchen Sie nicht nach dem Verursacher, sondern lösen Sie das Problem.
    „Jeder hätte klicken können.“
  • Kommunikationsstrategie: Gehen Sie offen nach vorne. Ihre Kunden werden es so oder so erfahren. Dann lieber über Sie.
  • Domaincontroller schützen. Ein Golden-Ticket-Angriff ist das Schlimmste, was Ihnen passieren kann. Den bekommen Sie nie wieder aus Ihrem System.
  • Backupstrategie prüfen. Besonders wichtig bei Unternehmen mit Standorten im Ausland.
  • Identifizieren Sie Ihre Partner und Dienstleister bevor der Schaden entsteht.
  • Stellen Sie Ihren Mitarbeitern eine eindeutige Telefonnummer zur Verfügung, damit sie sofort wissen, wo sie anrufen müssen, wenn der Fall eintritt.
  • Schulen Sie Ihre Mitarbeiter! 
    Verlassen Sie sich nicht darauf, dass diese bereits alles wissen. Dem ist nicht so.
  • Vergessen Sie nicht Ihren Datenschutzbeauftragten zu informieren. Eine Datenpanne muss innerhalb von 72 Stunden gemeldet werden, egal ob am Wochenende oder einem Feiertag.

Machen Sie mit uns den Test: Phishing-Awareness steigern und Mitarbeiter sensibilisieren.


Daniel Gade Geschäftsführer Artada

Daniel Gade ist Geschäftsführer beim IT-Systemhaus ARTADA mit Sitz im westfälischen Werl. Mit seiner langjährigen Expertise in der IT-Sicherheit taucht er bei seinen Vorträgen tief in das Thema Cybercrime ein. So auch bei Veranstaltungen von Biehn & Professionals. Durch Einbeziehung erlebter Fälle, gestaltet Daniel Gade seine Vorträge nah am alltäglichen Geschehen.