Wie kleine Schwachstellen zu einem Rezept für Katastrophen werden

Nur auf Englisch verfügbar

Blogbeitrag 9. April 2021 von Max van der Linden, Sicherheitsanalyst bei Bureau Veritas Cybersecurity

Wie Sie vielleicht schon gehört haben, ist die Gemeinde Hof van Twente vor kurzem Opfer eines Ransomware-Angriffs geworden, der zu einem fast vollständigen Stillstand des Geschäftsbetriebs führte. Ein Ransomware-Angriff unterbricht oder sperrt im Wesentlichen wichtige Dateien und stellt sie nur wieder her, wenn eine hohe Geldsumme gezahlt wird.

NFIR hat den Fall forensisch untersucht. Der veröffentlichte Bericht* wurde als Grundlage für diesen Blog verwendet. Dieser Blog soll einen Überblick über den Verlauf der Ereignisse geben, die zu dem Angriff führten, und zeigen, dass Sicherheitslücken, die zunächst unbedeutend erscheinen mögen, große Auswirkungen haben können, wenn sie miteinander verbunden werden.

Am^9.November 2020 verschafften sich die Hacker zunächst Zugang, indem sie den Remote-Desktop-Zugang (RDP) eines FTP-Servers erzwangen. Das mag kompliziert erscheinen, aber im Wesentlichen haben die Hacker einen Computer gefunden, auf dem Dateien/Dokumente gespeichert sind. Dieser Computer bot die Möglichkeit, sich einzuloggen und das System aus der Ferne zu steuern. Also begannen die Hacker, den Benutzernamen und das Kennwort zu erraten, indem sie millionenfach versuchten, sich mit verschiedenen Benutzernamen und Kennwörtern einzuloggen, bis sie schließlich das Konto "testadmin" mit dem Kennwort "Welkom2020" fanden und sich anmelden konnten. Das "test" in "testadmin" deutet darauf hin, dass es sich um ein zu Testzwecken erstelltes Konto handelt.

Befehl und Kontrolle

Das Konto "testadmin" hatte die höchste Zugriffsstufe innerhalb der Organisation, was es den Hackern ermöglichte, sich frei im Netzwerk zu bewegen und ihre bösartigen Aktionen auszuführen. Die Hacker hatten Zugriff auf insgesamt neun Server, von denen sie vier nutzten, um eine Verbindung zu ihrem eigenen Command-and-Control-Server herzustellen. Der Command-and-Control-Server ist im Wesentlichen ein von den Hackern kontrolliertes System, das Befehle an die vier Server im Netzwerk von Hof van Twente sendet, die nun "befohlen" werden können, Angriffe von innen auszuführen.

Da die Hacker nun über eine Möglichkeit verfügten, vier Systeme im Netzwerk zu"befehligen und zu kontrollieren", entfernten sie den RDP-Zugang vom FTP-Server. Mit anderen Worten: Die Hacker schlossen und verriegelten die Hintertür, über die sie sich ursprünglich Zugang verschafft hatten, denn wenn sie die Tür offen ließen, könnte das Verdacht erregen oder es anderen ermöglichen, den gleichen Zugang zu erlangen.

It's Showtime: Ausführung des Angriffs

Jetzt, da die Hacker Zugang zum internen Netzwerk hatten und ihren ursprünglichen Eintrittspfad gelöscht hatten, war es an der Zeit, den Ransomware-Angriff auszuführen. Um 22:00 Uhr, als die Hacker davon ausgingen, dass niemand im Büro war, um einzugreifen, begannen sie, die Systeme zu sperren und 89 virtuelle Server zu löschen, bis nur noch die Systeme übrig waren, die für den technischen Betrieb des Netzwerks erforderlich waren. Nehmen Sie sich einen Moment Zeit, um sich vorzustellen, was dies in Ihrem Unternehmen bedeuten würde: Im Grunde ist alles, was im Serverraum gespeichert ist, weg.

Die Hacker hinterließen einen Hinweis darauf, dass es sich nicht nur um einen technischen Fehler handelte. Als die Mitarbeiter das Büro betraten, bemerkten sie gedruckte Lösegeldforderungen auf einigen Druckern. Außerdem hinterließen die Hacker digitale Kopien dieser Lösegeldforderungen auf den betroffenen Systemen. Die Lösegeldforderungen enthalten in der Regel Anweisungen, was ein Unternehmen tun soll, um seine Daten und Systeme wiederzuerlangen, was im Allgemeinen darauf hinausläuft: "Zahlen Sie eine Menge Geld und wir geben Ihnen die Schlüssel, um alles wieder freizuschalten".

Während des Zeitraums der Kompromittierung hätte es zu verschiedenen Zeiten Möglichkeiten gegeben, den Angriff zu entdecken. Um eine Vorstellung von der Zeitachse zu bekommen, war der erste erfolgreiche Login der Hacker am ^9. November. Der eigentliche Angriff wurde am ^30. Novemberausgeführt. Damit ergab sich ein Zeitfenster von etwa 20 Tagen, in dem dieser Angriff hätte gestoppt werden können. Zu einem bestimmten Zeitpunkt installierten die Hacker zum Beispiel eine Software auf dem FTP-Server, um Spam zu versenden. Dieser Spam wurde von der Firewall blockiert. Die Installation der Software und die Blockierung dieses Spams hätten ein frühes Anzeichen dafür sein können, dass im Netzwerk etwas nicht in Ordnung war.

Hätten die Hacker von Hof van Twente einen Bericht verfasst, hätten sie wahrscheinlich die folgenden Feststellungen getroffen:

Mittleres Risiko - Admin-Schnittstellen aus dem Internet verfügbar
Mittleres Risiko - Fehlende Erkennungsfunktionen.
Mittleres Risiko - Schwache Kennwortrichtlinien.
Mittleres Risiko - Übermäßige Privilegien für Konten.
Mittleres Risiko - Keine Multi-Faktor-Authentifizierung für Benutzerkonten.
Mittleres Risiko - Fehlende Netzwerksegmentierung.
Geringes Risiko - Testkonten in der Produktionsumgebung.
Geringes Risiko - Mit dem Netzwerk verbundenes Back-up.
Geringes Risiko - Konten, die nicht mit bestimmten Personen verbunden sind.

Beachten Sie, dass es sich hierbei überwiegend um Ergebnisse mit mittlerem und geringem Risiko handelt, die den Eindruck vermitteln, dass zwar einige Verbesserungen erforderlich sind, aber kein großes Problem darstellen. Durch die Verkettung dieser Feststellungen ergab sich jedoch eine kritische Situation mit einem fast vollständigen Stillstand des Geschäftsbetriebs.

Die wertvollen Lektionen, die wir gelernt haben

Jetzt fragen Sie sich vielleicht: Das ist eine schöne Horrorgeschichte, aber wie kann ich verhindern, dass so etwas in meinem Unternehmen passiert? Nun, wenn man sich dieses spezielle Szenario ansieht, gibt es einige Empfehlungen, die man geben kann:

Stellen Sie sicher, dass die Verwaltungsschnittstellen nur dann aus dem Internet erreichbar sind, wenn dies unbedingt erforderlich ist.
Implementieren Sie Erkennungsmechanismen, die das Unternehmen alarmieren, wenn "seltsame Dinge" im Netzwerk geschehen.
Implementieren Sie eine strenge Passwortpolitik mit Mehrfaktor-Authentifizierung.
Stellen Sie sicher, dass Konten nur über die minimalen Privilegien verfügen, die sie für den vorgesehenen Zweck benötigen.
Konten, die in einer Abnahmeumgebung verwendet werden , sollten keinen Zugriff auf die Produktionsumgebung haben, da beide Umgebungen ein unterschiedliches Sicherheitsniveau haben.
Implementieren Sie eine Netzwerksegmentierung, um zu verhindern, dass von Servern mit niedrigem Profil auf solche mit hohem Profil gesprungen wird.
Verwenden Sie immer benannte Benutzerkonten, um die gemeinsame Nutzung von Passwörtern zu verhindern und die Rückverfolgbarkeit zu erhöhen.
Stellen Sie sicher, dass es mindestens eine Sicherheitskopie gibt, die nicht mit dem Netzwerk verbunden ist.

Die Behebung einer dieser Schwachstellen hätte die Kette unterbrochen und den Schwierigkeitsgrad dieses Angriffs erheblich erhöht.

Es ist dringend ratsam, ein Sicherheitstestunternehmen wie Secura auf diese Art von Schwachstellen testen zu lassen, um zu verhindern, dass Angreifer eine solche Angriffskette bilden können.

Secura kennt die gängigen Fallstricke und kann Sie beraten, wo sie zu finden sind und wie Sie sie entschärfen können. Erhöhung des Sicherheitsniveaus im Unternehmen in einer Sprache, die die verschiedenen technologischen Kompetenzstufen (von der Entwicklung bis zum Management) verstehen können

"Der beste Weg, sich gegen Hacker zu verteidigen, ist, Hacker einzusetzen".

Möchten Sie mehr über Ransomware-Angriffe wie den in Hof van Twente erfahren und darüber, wie sie sich im öffentlichen Raum entfalten? Erfahren Sie mehr über Ransomware, die Denkweise der Hacker, wie Sie diese Angriffe verhindern können und mehr in unserem früheren Ransomware-Webinar hier.