Incident Response – weil Cyberattacken Realität sind

Weshalb die Detektion und Reaktion so wichtig ist, zeigt sich anhand der Erkenntnisse aus einem realen Sicherheitsvorfall eines Schweizer Unternehmens.

Der «Cyberkrimi» begann mitten in der Nacht – und das vermeintliche «Game Over» folgte schon bald. Damals wurde ein Schweizer Industrieunternehmen Opfer einer gezielten Cyberattacke mit der Ransomware «NEPHILIM». Dabei wurden nicht nur vertrauliche Daten entwendet und verschlüsselt, sondern gleich das gesamte Netzwerk. Zwar konnten die Daten dank einer sehr guten Backup-Strategie sowie der schnellen und professionellen Reaktion der internen IT-Abteilung rasch wiederhergestellt werden. Für die weitere Analyse und Wiederherstellung des ganzen Betriebs brauchte es jedoch erfahrene Experten, weshalb das CSIRT (Cyber Security Incident Response Team) der InfoGuard beigezogen wurde.

Bei der Analyse des Cyberangriffs konnten die ersten Spuren anhand der anerkannten Cyber Kill Chain nach der eigentlichen Aufklärungsund Bewaffnungsphase der Hacker aufgedeckt werden. Diese waren auf einen (Spear-)Phishing-Angriff mit einer Emotet-Infektion zurückzuführen, der jedoch schon vor über drei Jahren stattgefunden hatte. Leider ist diese Angriffsform auch heute noch sehr erfolgreich. Eingesetzt wird sie beispielsweise bei vermeintlichen Gewinnspielen, in manipulierten Bewerbungsunterlagen mit Makro-Funktionen oder in gezielten Mails, bei welchen eine bestehende Mailkommunikation aufgezeichnet und darauf reagiert wird. Erst kürzlich konnte wieder eine Emotet-Angriffswelle beobachtet werden. Dabei hat der neue Threat-Aktor TA542 in den USA sowie in Grossbritannien E-Mails verschickt, die im Anhang manipulierte Word-Dokumente oder Links zu entsprechenden Dokumenten enthielten.

Durch den Phishing-Angriff konnte die professionelle Hackergruppierung ein Backdoor installieren, wodurch sie einen permanenten Zugang zum Unternehmensnetzwerk erhielten. Oftmals wird bei dieser Methode auch weitere Schadsoftware wie «Trickbot» nachgeladen. Trickbot klaut primär Login-Daten für privilegierte Domain Admin Accounts – genau wie bei diesem Sicherheitsvorfall. Dadurch erhalten die Angreifer quasi einen Passepartout-Schlüssel für das Zielobjekt und können so jederzeit mit ihrem Command & Control (C2) Server kommunizieren. Weder das Unternehmen noch der betroffene Administrator hatten eine Chance, die Entwendung des Passworts mit den vorhandenen technischen Mitteln zu bemerken. Im untersuchten Fall konnte die erste Kontaktaufnahme mit dem C2-Server anhand von Firewall-Logs rekonstruiert werden.

Diese erfolgte nur wenige Minuten vor der eigentlichen Attacke. Für die C2-Verbindungen wurde das Angriffs-Framework «Cobalt Strike» eingesetzt. Ist der Angreifer erst mal im Netz, versucht er weitere Informationen über das Zielnetzwerk zu sammeln. Diese Phase verläuft häufig vollkommen parallel zur Collection-Phase, in welcher der Angreifer Daten für den eigentlichen Angriff, beispielsweise eine Exfiltration, identifiziert und vorbereitet. Dabei verwendet der Angreifer nicht selten bekannte Tools wie «PsExec» und «wmi», um sich lateral durch das Netz zu bewegen und gezielt «Bridgeheads» aufzubauen. Diese nutzt er, um von dort aus den weiteren Angriff durchzuführen. Nicht selten wird dabei ein noch viel lohnenderes Ziel entdeckt, als das ursprünglich anvisierte. So werden oftmals kleine Unternehmen infiltriert und danach als Sprungbrett zu einem grösseren Unternehmen missbraucht.

Der eigentliche Angriff, sprich die Entwendung von sensitiven Unternehmensdaten und die Verschlüsselung des Netzwerks, erfolgte beim betroffenen Industrieunternehmen sehr schnell. Nur gerade 15 Minuten nach der initialen Kontaktaufnahme mit dem C2-Server, wurden die ersten Daten entwendet. In den darauffolgenden Tagen folgten weitere Files. Damit der Vorgang möglichst unerkannt blieb, handelte es sich jedoch um relativ kleine Datenvolumen.

Der zweite Teil des Angriffs bestand aus der Verschlüsselung von Systemen im gesamten Unternehmensnetzwerk. Die Angreifer wählten dabei vorrangig Server-Systeme aus. Ausgehend von mehreren Domaincontrollern, führten die Angreifer eine grosse Anzahl von .bat-Skripten aus, welche den Transfer der Malware, das Deaktivieren von Sicherheitslösungen und den eigentlichen  Verschlüsselungsprozess auf weiteren Servern auslösten. Dies alles geschah zwischen Mitternacht und den frühen Morgenstunden. Was sich wie aus einem Drehbuch für einen Hackerfilm liest, ist leider Realität – und kein Einzelfall.

Der folgende Arbeitstag begann für die Belegschaft des Unternehmens mit einer grossen Überraschung. Weder die Büroarbeitsplätze noch die Produktionsumgebung waren verfügbar. Nun war klar: Das Unternehmen wurde Opfer einer Ransomware-Attacke. Das CSIRT der InfoGuard trat daraufhin mit den Angreifern in Kontakt. Dies einerseits, um die Forderung der Erpresser zu erfahren und anderseits, um die Authentizität der Täterschaft zu verifizieren. In der Kommunikation ergab sich eine hohe Geldforderung, die in Bitcoins hätte bezahlt werden müssen. Bei Nichtbezahlung drohten die Erpresser mit der Veröffentlichung der Daten. Die Forderung war durchaus ernst zu nehmen, da ein Teil der Daten kurzzeitig im Darknet publiziert wurden.

In solch einer hektischen Situation ist ein verlässlicher, erfahrener Partner unerlässlich. Einerseits fehlt es intern meist an Know-how und Ressourcen, um so eine Situation entsprechend managen zu können. Andererseits gibt es genügend andere Aufgaben, um die man sich kümmern muss. Nebst technischen Hürden gilt es, sich auch um die Kunden, Geschäftspartner und nicht zuletzt um die Mitarbeitenden sowie womöglich auch noch um die Öffentlichkeit zu kümmern. Ein Sicherheitsvorfall ist jedoch ein denkbar ungünstiger Zeitpunkt, um sich nach möglichen Spezialisten umzuschauen. Daher empfiehlt sich, frühzeitig einen geeigneten Partner zu evaluieren und die vertraglichen Details vorab zu klären. Denn ein Sicherheitsvorfall kann jederzeit – 24x7 – eintreten.

Leider lassen sich Cyberattacken nie vollständig verhindern. Aber Sicherheitsmassnahmen gegen Attacken wie Ransomware lassen sich anhand von bewährten Standards wie dem NIST CSF planen und priorisieren. Dabei darf man sich aber nicht nur auf die Abwehr- sprich IT-Sicherheitsmassnahmen fokussieren. Angreifer werden früher oder später immer einen Weg finden. Deshalb ist die rasche Erkennung und Reaktion so wichtig – und zwar rund um die Uhr. Mit Hilfe eines CSIRT in einem dedizierten Cyber Defence Center lässt sich die Dauer eines Sicherheitsvorfalls und den dadurch verursachten Schaden minimieren sowie den Business Impact drastisch reduzieren. Ein Cyber Defence Center sollte aber nicht nur auf Gefahren reagieren, sondern aktiv nach Bedrohungen und Anzeichen eines Angriffs suchen. Deshalb basiert Cyber Defence nicht nur auf einer defensiven, sondern insbesondere auch auf einer offensiven Sicherheitsstrategie.

Da sich die Risikosituation stetig ändert, ist Cyber Security auch keine einmalige Angelegenheit. Es gilt, die aktuelle Bedrohungslage zu beobachten und das Sicherheitsdispositiv kontinuierlich zu verbessern – eine anspruchsvolle Aufgabe, insbesondere in Zeiten des Fachkräftemangels. Daher empfiehlt es sich, professionelle Unterstützung in Form eines Managed Security Services beizuziehen, um die Cyber Resilience zu stärken sowie den Schutz der Unternehmenswerte zielgerichtet und nachhaltig zu verbessern.