Auch Schweizer Unternehmen würden immer häufiger von sogenannten APT-Attacken (Advanced Persistent Threat) betroffen. Dies beobachten jedenfalls die IT-Sicherheitsexperten der Baarer Cyber-Security-Firma InfoGuard immer häufiger, wie am Kundenanlass des Unternehmens, dem InfoGuard Innovation Day, zu erfahren war. APT-Angriffe zeichnen sich unter anderem dadurch aus, dass die Hacker sehr ausgeklügelt vorgehen und sich lange mit ihren Werkzeugen wie Malware im Firmennetz bewegen, um dann mit aller Macht zuschlagen zu können.

Dass die Gefahr real ist, zeigt die Statistik des Incident-Response-Teams von Infoguard. Dieses musste im vergangen Jahr mehr als 50 Mal aktiv werden, um Schäden von Angriffen zu beseitigen. Wie Michael Kurth, Senior Security Analyst bei InfoGuard, an dem Event betonte, könne diese Marke im laufenden Jahr schnell übertroffen werden, wenn die IT-Security-Spezialisten im gleichen Mass gefordert würden wie in den ersten Wochen des noch jungen 2020. Grund: Derzeit haben die Security-Fachleute mit zahlreichen Angriffen wegen der Lücke in Citrixs Netscaler alle Hände voll zu tun.

Wie Hacker bei den genannten APT-Angriffen vorgehen, zeigte Kurth anhand von im letzten Jahr beobachteten Beispielen in Schweizer Unternehmen auf. Viele Attacken im vergangen Jahr fielen dabei unter die Kategorie Ransomware, bei der die Daten der Firmen verschlüsselt werden und zur Entschlüsselung ein Lösegeld gefordert wurde. Laut Kurth betrug die höchste dieser in der Schweiz beobachteten Forderungen sechs Millionen Dollar.

Die IT-Experten beobachten in Sachen Ransomware eine immer professionellere Vorgehensweise. So habe nun das organisierte Verbrechen entdeckt, dass mit Ransomware viel Geld verdient werden könne, meint Kurth und nennt als Beispiel die Hackergruppe FIN6. Diese in der Ukraine anzusiedelnde Organisiation hatte sich bislang «nur» darauf spezialisiert gehabt, Kassensysteme anzugreifen, von diesen Kreditkarteninformationen abzugreifen und die Daten im Darknet zu verkaufen.

In Sachen Ransomware-Infrektion gehen diese Hackergruppen gemäss Kurth nun wieder sehr gezielt und manuell vor, während sich die erste Erpresser-Software-Welle dadurch auszeichnete, dass möglichst automatisiert Systeme infiziert und Lösegeldforderungen gestellt wurden. Ziel der Angreifer sei es, alle Domain Controller zu kompromittieren und so das komplette Netzwerk des Opfers zu infizieren. Zudem werde versucht, auch die Backups zu verseuchen, sodass ein simpler Restore heute meist nichts mehr nütze. Schlagen die Angreifer zu, werde dann meist die komplette IT-Infrastruktur der betroffenen Firma lahmgelegt, inklusive Webseite und Telefonanlage.

Die Zielstrebigkeit der APT-Angreifer zeigt sich schon bei der Infektion. Hier würden sehr professionelle Spear-Phishing-Methoden angewendet, um Malware wie etwa Emotet zu verbreiten. Im von Kurth gezeigten Beispiel wurde einem Mitarbeiter in der betroffen Firma ein Mail mit dem gefährlichen Anhang zugeschickt, das wohl niemand so schnell als Hacking-Versuch entlarven kann.

So enthielt das Schreiben die Absenderadresse und Signatur eines wirklichen Kunden, war an den richtigen Mitarbeiter aus der Administration gerichtet und enthielt im Betreff sogar die richtige Rechnungsnummer. Durch die Ausführung des Makros im angehängten Word-Dokument wurde das Unternehmen mit Emotet verseucht.

Der Zugang zu dem nun verwundbaren Firmennetz wurde sodann im Darknet verkauft. Offenbar muss gemäss Kurth hier die Hackergruppe FIN6 zugeschlagen und den Zutritt erworben haben.

Die Profis der Gruppe holten nämlich in einer weiteren Phase zu einem ernsthaften Angriff auf die verwundbare Firma aus. Dabei wurde via Emotet das professionelle Angriffsframework Cobalt Strike nachgeladen. Dieses erlaubte es den Angreifern, sich im Netz des Opfers zu bewegen.

Schritt für Schritt wurde erst in dem verwendeten Citrix-Netz ein Client übernommen, danach alle Clients und die Server. Schlussendlich gelangten auch die Domain Controller des Unternehmens unter die Kontrolle der Angreifer. Von diesen aus wurde sodann über den Domain Account die Ransomware verteilt.