Nach stümperhafter Netzwerkinfiltration durch Cybercrime-Novizen übernehmen Profis mit Lockbit-Ransomware

Den Sophos-Forschern ist ein interessanter Cyberfall ins Netz gegangen. Über fünf Monate zog sich ein Angriff auf Server samt anschließender Ransomware-Attacke mit Lockbit hin – zunächst von Cybernovizen vorbereitet, übernahmen im entscheidenden Moment die Profis das Ruder. Schlussendlich jedoch mit wenig Erfolg.

Sophos hat einen besonderen Cyberangriff aufgedeckt: Cyberkriminelle brachen in einen regionalen Regierungs-Server in den Vereinigten Staaten ein und verblieben dort fünf Monate. In dieser Zeit nutzten sie den Server, um online nach einem Mix aus Hacker- und IT-Administrations-Werkzeugen zu suchen, die ihnen beim Ausrollen einer Attacke helfen könnten. Die Angreifer installierten außerdem einen Cryptominer, bevor sie Daten exfiltrierten und die Ransomware Lockbit einsetzten.

In „Attackers Linger on Government Agency Computers Before Deploying Lockbit Ransomware“ wird dieser Angriff noch einmal mit allen technischen Feinheiten beschrieben. Das Incident-Response-Team von Sophos, das die Attacke eindämmte und untersuchte, geht davon aus, dass mehrere Attacken den vulnerablen Server infiltrierten.

Andrew Brandt, Principal Security Researcher bei Sophos, gibt einen Einblick in den Angriff:  „Das war ein ziemlich chaotischer Angriff. In enger Zusammenarbeit mit dem Opfer waren die Forensik-Teams von Sophos in der Lage, sich ein Bild von dem Angriff zu machen. Zunächst scheinen es unerfahrene Cyberkriminelle zu sein, die in den Server einbrachen, im Netz herumstöberten und einen kompromittierten Server für die Recherche nach raubkopierten und freien Versionen von Hacker- und legitimen Admin-Tools einsetzten. All dies diente zur Vorbereitung der eigentlichen Attacke. Anschließend schienen sie unsicher in ihren nächsten Schritten zu werden. Ungefähr vier Monate nach dem anfänglichen Servereinbruch änderte sich die Art der Angriffsaktivität, in einigen Fällen sogar drastisch. Ab diesem Zeitpunkt konnte man von Cybergangstern mit ganz anderen Fähigkeiten ausgehen, die sich in den Kampf eingeschaltet hatten und die Sicherheitssoftware deinstallierten. Sie entwendeten möglicherweise Daten und verschlüsselten Dateien auf verschiedenen Geräten mithilfe der Ransomware Lockbit.“

 

Die Abfolge der Attacke: Anfänger legen vor, Profis übernehmen

Sophos fand heraus, dass der anfängliche Zugangspunkt für die Attacke ein offener Remote-Desktop-Protocol (RDP)-Port auf einer Firewall war, der für den öffentlichen Zugang zu einem Server konfiguriert wurde. Die Kriminellen brachen bereits im September 2021 in den Server ein und nutzten den vorhandenen Browser, um online nach legalen und illegalen Werkzeugen zu suchen. In einigen Fällen führte diese Suche die Eindringlinge zu dubiosen Download-Seiten, die Adware an den gehackten Server auslieferte anstatt der gesuchten Werkzeuge.

Die Untersuchungen zeigten eine signifikante Verhaltensänderung der Angreifer ab Mitte Januar 2022: geschicktere und gezieltere Aktivitäten waren jetzt zu erkennen. Die Akteure versuchten, den schädlichen Cryptominer wieder zu entfernen und deinstallierten Sicherheitssoftware. Hierbei nutzten sie eine Lücke aus, die das Opfer versehentlich nach Wartungsarbeiten mit einer deaktivierten Schutzfunktion offengelassen hatte. Anschließend sammelten und exfiltrierten sie Daten und installierten die Ransomware Lockbit. Der große Erfolg blieb aber aus, die Datenverschlüsselung scheiterte an einigen Geräten.

 

Netzwerkzugriffe so weit wie möglich zu blockieren

„Wenn IT-Teams Werkzeuge für externe Verbindungen oder Fernzugriffe nicht für einen bestimmten Grund installiert haben, sollten diese Tools auf keinem Gerät im Unternehmensnetzwerk vorhanden sein. Sind derartige Tools dennoch aktiv, weist dies auf einen laufenden oder bevorstehenden Angriff hin. Unerwartete oder ungewöhnliche Netzwerk-Aktivitäten, wie zum Beispiel ein Netzwerkscan, sind ebenfalls starke Indikatoren dafür, dass Fremde in das Netzwerk eingedrungen sind. Auch sich wiederholende RDP-Login-Fehler auf Geräte, die nur innerhalb des Netzwerks zugänglich sind, lassen ein Brute-Force-Tool vermuten, mit dem sich Cybergangster auf Schleichfahrt im Unternehmensnetz bewegen“, so Brandt. „Eine robuste, tiefgreifende und aktive 24/7–Verteidigung kann maßgeblich helfen, dass derartige Attacken gar nicht erst stattfinden oder sich im Unternehmensnetz entfalten. Der allerwichtigste erste Schritt ist es, die Angriffe vom Netzwerk fernzuhalten, zum Beispiel durch die Nutzung einer Multi-Faktor-Authentifizierung und einer Firewall-Konfiguration, die den Fernzugriff zu RDP-Ports ohne VPN-Verbindung blockieren.“

Einen besonders hohen Schutz können Unternehmen mit der Zero-Trust-Strategie erreichen. Das sehr hohe Sicherheitsniveau beruht darauf, dass grundsätzlich keinem Gerät und keinem Nutzer vertraut wird. Das Zero-Trust-Prinzip bedeutet vereinfacht: Vertraue nichts und niemandem (schon gar nicht einem Netzwerk) und überprüfe alles. Infolgedessen gibt es kein automatisches Vertrauen oder Misstrauen innerhalb oder außerhalb des Perimeters. Es wird grundsätzlich verifiziert, wer zugreifen möchte und es wird geprüft, ob das zugreifende Gerät in Ordnung ist. Zudem wird Nutzern und Nutzerinnen ausschließlich genau der Zugriff auf die Ressourcen und Anwendungen gewährt, die für ihre Aufgaben benötigt werden.

#Sophos