Ransomware-Angriffe auf Unternehmen nutzen Schwachstellen in deren IT-Sicherheitsstrategien aus. Dazu eignen sich kompromittierte Anmeldedaten und ungeschützte Server, um eine persistente Verbindung zu etablieren. Oder Angreifer verschaffen sich Zugang über ein ungenutztes Konto und einem offenen VPN-Kanal. Dagegen hilft ein umfassender, mehrschichtiger Schutz mit integrierter und erweiterter Transparenz.

Sicherheitsteams in der IT werden täglich, wenn nicht sogar stündlich, mit zahlreichen Sicherheitswarnungen und Vorfällen konfrontiert. Dies bedeutet, dass sie sich auf das Wesentliche fokussieren müssen, um potenzielle Bedrohungen oder verdächtige Aktivitäten zu erkennen und zu entscheiden, ob es sich um legitime Aktivitäten oder Eindringlinge mit böswilligen Absichten handelt. Was aber, wenn die dafür notwendigen Informationen fehlen?

Zwei verschiedene Ransomware-Angriffe aus der SOC-Praxis von Barracuda Managed XDR, die sich gegen produzierende Unternehmen richteten, zeigen, was passiert, wenn es blinde Flecken in der Sicherheitsstrategie gibt.

Fall #1:
Ein Angriff durch die Ransomware-Gruppe Play.

Schwachstellen: Kompromittierte Anmeldedaten für ein Domain-Administratorkonto; ungeschützte Server, die von den Sicherheitsmaßnahmen nicht abgedeckt waren; Missbrauch legitimer, kommerziell erhältlicher IT-Tools.

An einem Dienstagabend gegen 1:00 Uhr morgens nutzten Angreifer der Gruppe Play kompromittierte Anmeldedaten für ein Domain-Administratorkonto aus, um in einen ungeschützten Remote-Desktop-Server des Zielunternehmens einzudringen. Eine fehlende Abdeckung des Servers durch entsprechende Sicherheitsmaßnahmen führte dazu, dass dieses verdächtige Verhalten auf dem Domain-Controller unbemerkt blieb.

Die Angreifer versuchten im nächsten Schritt, eine persistente Verbindung zu etablieren, indem sie eine Remote-Überwachung- und -Verwaltungs-Anwendung auf dem ungeschützten Server installierten, um die Kontrolle über diesen Server aus der Ferne zu erlangen. Die Angreifer versuchten außerdem, sich mithilfe von legitimen, kommerziell erhältlichen IT-Tools Zugang zu einer Liste von Anmeldedaten zu verschaffen, um sich seitlich im Netzwerk zu bewegen. Aufgrund dieser seitlichen Bewegungen wurden sie dann von den Sicherheits-Tools entdeckt, die weitere schädliche Aktivitäten verhinderten.

Die Angreifer versuchten daraufhin, die Sicherheitsmaßnahmen zu deaktivieren und zu manipulieren sowie Kopien von Dateien zu löschen – in vielen Fällen dient dies als Vorbereitung für die Verbreitung von Ransomware. Auch diese Aktivität wurde erkannt und blockiert.

Um 3:20 Uhr morgens versuchten die Angreifer dann, die Play-Ransomware auszuführen und mit ihr mehrere Endgeräte zu verschlüsseln. Dieser Versuch wurde um 3:23 Uhr gestoppt, nachdem die Ziel-Endpunkte vom Netzwerk isoliert wurden.

Mit einer umfassenderen Sicherheitsabdeckung hätte dieser Angriff bereits Stunden früher unterbunden werden können.

Fall #2:
Ein Angriff durch die Ransomware-Gruppe Akira.

Schwachstellen: Ungeschützte Endgeräte im Netzwerk; ein VPN ohne Multi-Faktor-Authentifizierung (MFA); ein ungenutztes Nutzerkonto, das für einen Drittanbieter erstellt und nicht deaktiviert wurde.

Vor dem eigentlichen Angriff, der ebenfalls nachts durchgeführt wurde, verschafften sich die Angreifer Zugang zu den Anmeldedaten für ein »Geisterkonto«, das vom Zielunternehmen für einen Drittanbieter eingerichtet und nicht deaktiviert wurde, als es nicht mehr benötigt wurde. Die Angreifer nutzten dieses Konto, um sich über einen offenen, nicht per MFA geschützten VPN-Kanal mit dem Netzwerk des Zielunternehmens zu verbinden.

Die Angreifer wurden entdeckt, als sie versuchten, sich seitlich im Netzwerk zu bewegen. Dafür nutzten sie Malware zum Sammeln dafür relevanter Informationen sowie eine Hacking-Methode, mit der Passwörter umgangen werden können, um Zugriff auf ein Computersystem zu erhalten. Diese schädliche Aktivität wurde blockiert, was die Angreifer jedoch nicht stoppte: Als sie feststellten, dass auf den Endgeräten im gesamten Netzwerk ein Endgeräteschutz installiert war, versuchten sie, diesen zu deaktivieren.

Als ihnen dies jedoch nicht gelang, verlagerten sie den Schwerpunkt ihres Angriffs auf einen ungeschützten Server, von dem aus sie den Rest ihres Angriffs durchführen wollten, da der Server nicht vom installierten Endpunktschutz abgedeckt war. Die Angreifer schafften es, sich Administrator-Berechtigungen zu besorgen und nutzten diese, um eine Stunde später die Ransomware-Phase des Angriffs auszuführen.

Die Angreifer führten die Ransomware zunächst auf dem ungeschützten Server aus und versuchten dann, weitere Endgeräte, die sie über das Netzwerk erreichen konnten, aus der Ferne zu verschlüsseln. Sicherheits-Tools erkannten dies und isolierten die entsprechenden Zielendgeräte. Die Ransomware wurde innerhalb von vier Minuten gestoppt.

Fazit: Umfassende Sicherheitsabdeckung ist ein Muss. Die Fälle zeigen, dass Cyberangriffe zunehmend in mehreren Stufen und Phasen durchgeführt werden. Angreifer sind zunehmend bereit, sich während des Angriffs umzuorientieren, an veränderte oder unerwartete Umstände anzupassen und dabei ungeschützte Netzwerkbereiche ins Visier zu nehmen, um diese auszunutzen.

Eine lückenhafte Sicherheitsabdeckung macht es für Angreifer einfacher, sich Zugang zu Netzwerken zu verschaffen und dabei unentdeckt zu bleiben, bis sie ihren lateralen Angriff durchführen. So können Angreifer verschiedene Phasen eines Angriffs auf Endgeräten, die nicht von den Sicherheits-Tools gescannt und überwacht werden, vorbereiten und ausführen.

Die beste Verteidigung gegen solche Angriffe ist ein umfassender, mehrschichtiger Schutz mit integrierter und erweiterter Transparenz in Kombination mit einem starken Fokus auf die Grundlagen der Cybersicherheit. Dazu zählen:

MFA, insbesondere für VPN-Konten, die von außen zugänglich sind.
Passwortrichtlinien, um Anmeldedaten regelmäßig zu ändern und veraltete Passwörter auszusortieren.
Regelmäßige Prüfung aktiver Nutzerkonten sowie Deaktivierung nicht mehr genutzter Konten.

Eine Integration von Netzwerk-, Endpunkt-, Server-, Cloud- und E-Mail-Sicherheit durch eine Extended-Detection-and-Response-Lösung (XDR) ermöglicht es Unternehmen, Bedrohungen noch effektiver zu erkennen und auf sie zu reagieren. Eine umfassende XDR-Lösung deckt jeden Winkel der IT-Infrastruktur ab – von E-Mails bis hin zu Cloud-Anwendungen – und schützt sie mit einem vollständigen Spektrum an fortschrittlichen Sicherheitsmaßnahmen in Kombination mit proaktiven Strategien zur Erkennung und Abwehr von Bedrohungen. Dies ermöglicht schnelleres Handeln und minimiert das Zeitfenster, das den Bedrohungsakteuren zur Verfügung steht.

Adam Khan,
VP of Global Security Operations,
Barracuda XDR

https://www.barracuda.com/products/managed-xdr

Illustration: © Chrisharvey, Microvone | Dreamstime.com

2348 Artikel zu „SOC Security“

News | Favoriten der Redaktion | IT-Security | Services | Strategien | Tipps | Whitepaper

SAP Security: Vier Schritte zum Erfolg – am besten mit einem SOC

19. September 2024

In der modernen Geschäftswelt, in der Technologien eine zentrale Rolle spielen, haben Unternehmen längst erkannt, dass sie passgenaue Security-Konzepte benötigen. Doch je weiter die technologischen Innovationen voranschreiten, desto ausgefeilter werden auch die Angriffsmethoden von Cyberkriminellen. Welche praktischen Schritte es in der SAP Security braucht, erfahren Sie in diesem Beitrag. Und welche zentrale Rolle ein gutes,…

Adam Khan, VP of Global Security Operations, Barracuda XDR

2348 Artikel zu „SOC Security“

Adam Khan,
VP of Global Security Operations,
Barracuda XDR