Ein Ransomware-Angriff mit Ryuk legte das Netzwerk eines nicht näher genannten Lebensmittel- und Getränkeherstellers lahm. Die Sicherheitsfirma AT&T Cybersecurity stellte die Systeme wieder her, ohne Lösegeld zu zahlen.

Der Angriff begann mit einer ganz gewöhnlichen Phishing-Attacke. Der Direktor von AT&T, Bindu Sundaresan, gab weitere Einblicke in die Vorgehensweise der Angreifer. Demnach erhielt ein Angestellter des Unternehmens ein MS-Word Dokument, das als Rechnung ausgewiesen war per E-Mail. Das Dokument wurde heruntergeladen und ein versteckter bösartiger Code führte daraufhin einen PowerShell-Befehl aus. Der PowerShell-Befehl hätte übrigens, laut AT&T, nicht ausgeführt werden können, wäre PowerShell deaktiviert gewesen für allgemeine Nutzer. Heruntergeladen wurden dann die Emotet Malware und anschließend der Trickbot Trojaner.

Nachdem Emotet im Netzwerk Fuß gefasst hatte, konnte Trickbot eingesetzt werden. Trickbot ist ein leistungsstarker Trojaner. Er ermöglicht den Angreifern eine Backdoor in kompromittierten Systemen auszunutzen. Außerdem können sich Angreifer mit dem bösartigen Tool innerhalb von Netzwerken bewegen, Befehle erteilen und weitere Daten stehlen. Alte Hardware und auch Standardpasswörter konnten im Netzwerk ausgenutzt werden, um letztendlich Ryuk mittels Trickbot erfolgreich auszuliefern. Zur Höhe der Lösegeldforderung wurde übrigens nichts bekannt gegeben.

Man entschloss sich allerdings sofort gegen eine Zahlung der Lösegeldforderung. Stattdessen engagierte man AT&T, um den Vorfall zu untersuchen. Und diese schnelle Reaktion war wichtig für den späteren Erfolg und die Eindämmung des Schadens. AT&T schaffte es, das Netzwerk innerhalb von 48 Stunden wiederherzustellen.

Verschlüsselte Systeme wäre wohl vermeidbar gewesen

Bindu Sundaresan bestätigte, dass dieser Angriff von vorn herein im Keim erstickt wäre, wenn man sich an ein ordentliches Patch-Management gehalten hätte. Microsoft hätte hier gute Vorarbeit geleistet, fügte er hinzu. Zum Angriffserfolg beigetragen hätte, so Sundaresan, auch, dass keine starken Passwörter und Multi-Faktor-Authentifizierung zur Sicherung der Systeme verwendet worden war. Und letztendlich seien die Schwachstellen, die Emotet, Trickbot und Ryuk ausnutzen, schon seit Langem bekannt gewesen. Wie in diesem Fall, werden die vorhandenen Patches dafür leider sehr oft nicht angewendet. Sundaresan ergänzte, dass „vieles davon hätte sich verhindern lassen können – hätten sie keine Standardpasswörter und keine alten Rechner verwendet“.

Bindu Sundaresan hatte noch eine abschließende Botschaft für alle Unternehmer: Die Systemsicherheit muss immer aus der Sicht eines Angreifers durchgeführt werden – von innen zu testen, reiche nicht aus. Ein Netzwerk müsse mit mehreren Angriffsvektoren getestet werden. Objektiv durchgeführt werden könne das nur mit einem umfangreichen Penetrationstest“.

Auch SANS IT-Sicherheitsexperte John Pescatore teilt diese Meinung.

„Aufzuzeigen, wie und warum viele Lösegeld-Angriffe erfolgreich seien, würde Entscheidungsträgern verdeutlichen, wie wichtig eine grundlegende Sicherheitshygiene sei“,

so Pescatore.

„In der realen Welt könnten Unternehmensleitungen oft nur durch externe Experten auf den richtigen Pfad zur optimalen IT-Hygiene gebracht werden“.

Artikel von zdnet.com, 30.07.2020: Ransomware: How clicking on one email left a whole business in big trouble

Beitragsbild: Public Domain, Creative Commons CC0, S. Hermann & F. Richter über pixabay.com