Was wir von Ransomware-Vorfällen lernen können

Bei unserer Veranstaltung "Was wir von Ransomware-Vorfällen lernen können" hatten wir die besondere Gelegenheit, allen interessierten Unternehmen Einblicke in die Erfahrung eines mittelständischen Unternehmens zu geben, welches Opfer eines erfolgreichen Ransomware-Angriffs wurde. Beginnend beim Aufbau der IT-Infrastruktur über die zum gegenwärtigen Zeitpunkt getroffenen Backup- und Sicherheitsmaßnahmen bis hin zum genauen Tathergang: In unserem anonymisierten Vortrag schilderte das betroffene Unternehmen den genauen Ablauf des eigenen Angriffs, um anderen Unternehmen dabei zu helfen, gegen künftige Ransomware-Attacken gewappnet zu sein.

Illustration eines Laptops der in Kettern liegt mit einer Hand die Geld nimmt und einer Hand die einen Schlüssel anbietet

Datenverschlüsselung ist ein sicheres und wichtiges Mittel zum Schutz vor Einsichtnahme und Manipulation durch unberechtigte Dritte. Wenn die Verschlüsselung von Daten allerdings unfreiwillig passiert und von außen initiiert wird, wird der eigentliche Vorteil der Verschlüsselung zu einem massiven Problem, weil dann nicht mehr auf seine eigenen Daten zugegriffen werden kann. Um sich finanzielle Vorteile zu verschaffen und „Beute zu machen“, machen Cyberkriminelle genau das: Sie verschlüsseln unbefugt die Daten anderer und fügen Betroffenen dadurch immensen Schaden zu.

Eine solche Angriffsart wird Ransomware genannt und bezeichnet nichts anderes als „Erpressungssoftware“ oder auch Erpressungs- und Verschlüsselungstrojaner. Trojaner erlauben den unberechtigten Zugriff auf Systeme von außen – einschließlich der Steuerung und dem Kopieren sämtlicher Daten. Dabei nutzen Kriminelle vorhandene Schwachstellen im System oder die Naivität von Mitarbeitenden aus, um Zugriff auf ein System zu bekommen. Ist der Zugriff erfolgt, werden sämtliche angeschlossenen Daten verschlüsselt, beispielsweise auch Netzwerkfreigaben oder angeschlossene externe Datenträger. Für die Entschlüsselung der Daten fordern Kriminelle dann in der Regel ein Lösegeld. In Deutschland werden die Gesamtkosten durch Schadprogramme wie Ransomware und viele andere Formen der Malware im Jahr 2021 mit 223 Milliarden Euro beziffert, 2019 waren es noch 103 Milliarden Euro.


Was ist passiert? 

Um Zugriff auf das IT-System des Unternehmens zu erhalten, nutzten die Kriminellen eine zu dem Zeitpunkt noch nicht geschlossene Schwachstelle des selbst betriebenen E-Mail Servers des Unternehmens aus (Exchange). Diese Schwachstelle war erst wenige Tage zuvor bekannt geworden und fiel damit in die Kategorie der Zero-Day-Schwachstellen. Als Zero-Day bezeichnet man neu entdeckte Schwachstellen. In dem entsprechenden Fall handelte es sich um eine sogenannte Proxy-Shell-Schwachstelle, die den Zugang auf einen Exchange Server ermöglichte. Nachdem sich die Kriminellen Zugang zum Firmennetzwerk verschafft hatten, luden sie ein Web-Shell-Skript  auf das System des Unternehmens und führten dieses aus. Über die nächsten Tage wurden weitere Skripte nachgeladen und auf das Root-Verzeichnis [Hauptverzeichnis des Dateisystems] des Exchange Servers geladen.

Dadurch gelangte die Datei abcd.exe – ein sogenanntes Multitool – in das Netzwerk. Mit diesem Werkzeug können Schutzmaßnahmen, die gegen Malware getroffen worden, deaktiviert werden, sodass die üblichen Vorsorgemaßnahmen umgangen werden können. Im Fall des Unternehmens wurde der Microsoft Defender deaktiviert. Außerdem ermöglichte das Multitool den Kriminellen Remote Control Zugriffe [Fernsteuerung], Löschrechte und die Bewegung im Netzwerk des Unternehmens, um das System weiter auszuspionieren.

Die Analyse der abcd.exe ergab, dass das Multitool neben bestimmten Malware-Komponenten auch TeamViewer-Funktionalitäten sowie Admin-Tools und Grafikkarten-Bibliotheken enthielt. Letztere sollten den Zugriff auf etwaige Grafikkarten im System ermöglichen, um damit die Verschlüsselung mit hoher Geschwindigkeit durchführen zu können.

Über das Wochenende hinweg wurde ein weiteres Programm in das Root-Verzeichnis des Exchange Servers geladen, sowie ein Netzwerk Monitoring Tool namens Advanced IP Scanner, mit dem Rechner und Domänencontroller im Netzwerk identifiziert werden können. Es fanden zu dieser Zeit dann auch Lateral Movements, also Bewegungen der Kriminellen auf den Servern, statt. Zudem wurden neue Gruppenrichtlinien auf dem Domänencontroller erstellt und ausgenutzt, um weitere Aktionen zu ermöglichen. Zu diesen Aktionen zählten:

  • die Deaktivierung aller Datenbank-Dienste, um eine Verschlüsselung der Datenbanken zu ermöglichen,
  • die Deaktivierung von Prozessen, die die Verschlüsselung anderer Dateien blockiert hätten
  • sowie die Deaktivierung anderer Tools, die Verhaltensanalysen auf dem System durchführen.
     

Abschließend wurde ein zuvor eingeschleustes Verschlüsselungsprogramm mit dem Namen a71717.exe auf die jeweiligen Server und Rechner kopiert und der Verschlüsselungsprozess gestartet. Dieses Programm stellte sich als die Ransomware „LockBit 2.0“ heraus.

Nach der abgeschlossenen Verschlüsselung löschte die a71717.exe sämtliche Windows Event Logs [Ereignisprotokolle], um eine Nachverfolgung zu erschweren. Abschließend wurde auf jedem der betroffenen Server und Rechner eine Textdatei angelegt, in der Kontaktinformationen in Form eines Links ins Darknet zu finden waren. Auch die Drucker des Unternehmens waren betroffen und druckten die Informationen der Textdatei aus, bis kein Papier mehr vorhanden war. Dieser Angriff fand schwerpunktmäßig an einem Wochenende statt und wurde deshalb erst an einem Sonntagmorgen durch geplante Wartungsarbeiten des Dienstleisters entdeckt.

Dass der Angriff zum Wochenende hin erfolgte, führte auch dazu, dass nicht alle Geräte des Unternehmens verschlüsselt wurden, da die meisten Arbeitsrechner über das Wochenende ausgeschaltet werden. Zudem hatten diese Rechner keine Wake-On-Lan-Funktion [Einschalten eines Geräts über das Netzwerk] aktiviert. Wäre diese Funktion aktiviert gewesen, hätte dies dazu geführt, dass LockBit die entsprechenden Rechner über das Netzwerk eingeschaltet und ebenfalls verschlüsselt hätte.


Nach dem Angriff

Nachdem der Vorfall erkannt wurde, wurde der Geschäftsführer sowie verschiedenste Mitarbeitende informiert, um zu verhindern, dass Arbeitsrechner eingeschaltet werden. Auch die zuständigen Strafverfolgungsbehörden des Landes wurden zu Hilfe gerufen. Über die nächsten Tage hinweg wurden alle Informationen, die dem Unternehmen und dem IT-Dienstleister zur Verfügung standen, an die Strafverfolgungsbehörden (Polizei und Landeskriminalamt), weitergegeben – inklusive der noch verfügbaren Logdaten.

Ein externer Datenschutzbeauftragter und die Datenschutzbehörde des Landes wurden über einen möglichen Datenschutzverstoß informiert. Entsprechende potentielle Datenschutzverstöße müssen innerhalb von 72 Stunden nach einem Vorfall gemeldet werden. Im vorliegenden Fall informierte das Unternehmen die entsprechenden potentiell betroffenen Personenkreise über den möglichen Datenabfluss.

Die betroffenen Rechner und Server im Netzwerk wurden anschließend mit einer neuen Malware-Lösung gescannt. Neben der Neueinrichtung der Rechner und Server wurden sowohl eine neue Domäne unter neuem Namen als auch sämtliche Benutzerkonten, Passwörter und VPN-Zugänge neu eingerichtet. Von der Verschlüsselung waren auch viele Sicherungskopien betroffen, da diese mit den Servern verbunden waren. Das führte dazu, dass nicht alle Daten wiederhergestellt werden konnten. Das Unternehmen entschied sich nach diesem Vorfall dazu, ihre Server nicht mehr On-Premises (vor Ort) zu betreiben, sondern diese in die Cloud zu verlagern, damit entsprechende Patches, Updates etc. schneller eingespielt werden. Etwa 3 Wochen nach Beginn des Vorfalls waren sämtliche Systeme wieder einsatzfähig. Zudem wurde eine weitere neue Anti-Malware-Lösung implementiert.

Die Datenschutzbehörde stellte das Verfahren ohne Bußgeld ein, da im vorliegenden Fall kein grob fahrlässiges Verhalten erkennbar war. Einen Monat später stellte schließlich auch die Staatsanwaltschaft das Verfahren gegen Unbekannt ein, da die Täter nicht ermittelt werden konnten.


Außmaß des Schadens – Eine Bilanz

Der Schaden belief sich auf den Verlust von vielen nicht wiederherstellbaren Daten. Da die Backups von der Verschlüsselung betroffen waren, ließen sich nur veraltete Daten wiederherstellen. Lockbit 2.0 hatte zudem sämtliche Schattenkopien gelöscht. Durch die nicht vorhandenen Arbeitsmittel kam es bei dem betroffenen Unternehmen zu enormen Arbeitsausfällen. Zusätzliche Kosten entstanden dem Unternehmen Firma durch

  • die Unterstützung des IT-Dienstleisters,
  • die Beschaffung neuer Hardware,
  • die Wiederherstellung eines Teils der Daten,
  • die Neuinstallation und -einrichtung der Server,
  • die Neuinstallation der Software durch weitere Dienstleister,
  • die Kommunikation mit der Datenschutzbehörde und der Kriminalpolizei.
     

Der Gesamtschaden belief sich auf schätzungsweise 300.000 Euro. 


Darüber hinaus haben sich im Rahmen des Events Fragen ergeben, die durch das Unternehmen anonym beantwortet worden sind


Weitere Betroffene Daten im Kontext eines Angriffs auf den E-Mail-Server (Exchange-Server)?

Daten wie beispielsweise Personalakten waren natürlich nicht auf dem Exchange-Server abgelegt, sondern auf einem Netzwerklaufwerk mit eingeschränkten Benutzerrechten. Durch den Angriff, welcher initial über eine Schwachstelle im Exchange-Server erfolgte, gelang es den Tätern, Zugriff auf die Server des Netzwerkes zu gelangen. Aufgrund der Administratorrechte, die sich die Täter beschafften, konnten sie auch auf vertrauliche Daten zugreifen. Es konnte nicht endgültig ausgeschlossen werden, dass die Personalakten von den Angreifern kopiert wurden. Daher wurden sowohl aktuelle als auch ehemalige Mitarbeiter direkt informiert.

Firewalls und Demilitarisierte Zone (DMZ)?

Es wurde eine Managed Firewall genutzt. Diese hilft jedoch nicht bei der Angriffsart, welche hier verwendet wurde. Eine DMZ war bisher nicht vorhanden, diese wurde aufgrund der Netzwerkgröße bisher nicht eingerichtet.

Warum von On-Premises auf Cloud umgestiegen?

Einer Empfehlung der IT-Sicherheitsspezialisten folgend. Nach einem erfolgreichen Angriff ist kein Zugriff auf weitere Teile des Unternehmensnetzwerks möglich. Zudem lässt sich davon ausgehen, dass Microsoft die Cloudserver deutlich schneller patchen kann.


Fazit – Was können Unternehmen von diesem Beispiel lernen? 

In jedem Fall ist es sinnvoll, die eigene IT-Sicherheitsstrategie kontinuierlich zu überprüfen und entsprechend nachzujustieren. Die Ergänzung der Leistungen Ihres IT-Dienstleistungsunternehmens oder Ihrer IT-Mitarbeitenden durch IT Security Expertise ist ebenfalls wichtig: Suchen Sie gezielt nach IT-Dienstleistern, die Kompetenzen in der Digitalen Sicherheit für solche und andere Fälle abdecken können.

Sorgen Sie außerdem dafür, dass Ihre Software laufend und lückenlos auf dem neusten Versionsstand ist, um z. B. Zero-Day-Schwachstellen zu vermeiden. Tipps dazu finden Sie in unserem Handout "Von Angreifern lernen" mit Maßnahmen, die einem Unternehmen bei einer Lösegeld-Verhandlung zugespielt wurden. 

Sorgen Sie dafür, dass unternehmensinterne Regelungen und Strukturen geschaffen werden, die nicht nur den Umgang mit einem Cybervorfäll bestimmen, sondern für den alltäglichen Umgang mit den IT-Sicherheitsregeln festlegen. Dazu gehören Regelungen für den Umgang mit Geräten und Nutzerkonten, für das Home-Office und für andere Sicherheitsvorkehrungen wie Passwörter.

Auch Ihre Mitarbeitenden sollten regelmäßig geschult werden, damit sie ein Gespür für die sich ständig ändernden Gefahren aus dem Cyberraum bekommen. Dafür empfehlen sich beispielsweise sogenannte Awareness Programme.

Hier können Sie sich die Slides der Präsentation als PDF herunterladen. 

Weitere Informationen finden Sie in unseren Handlungsempfehlungen.

Aufzeichnung: Was wir von Ransomware-Angriffen lernen können

Bitte beachten Sie: Sobald Sie sich das Video ansehen, werden Informationen darüber an Youtube/Google übermittelt. Weitere Informationen dazu finden Sie unter Google Datenschutzerklärung.