Groß angelegter Ransomware-Angriff von Sicherheitsexperten abgewendet

Ein namenloses Unternehmen stand kurz davor, zur neuesten Negativschlagzeile zu werden und einen großen Ransomware-Angriff zu erleiden, aber Sicherheitsforschern gelang es noch rechtzeitig, die Krise abzuwenden.

ZDNet berichtete über den Vorfall, bei dem ein großes Unternehmen Sicherheitsexperten von Sophos an Bord holte, nachdem eine große Anzahl von Cobalt Strike-Instanzen auf Unternehmenscomputern installiert war. Auf den ersten Blick mag dies nicht verdächtig erscheinen, da Cobalt Strike ursprünglich ein legitimes Penetrationstest-Tool ist. Im Laufe des letzten Jahres hat Cobalt Strike jedoch auch in Kreisen von Cyberkriminellen stark zugenommen.

Nachdem das Unternehmen zunächst Sophos an Bord geholt hatte, um das Auftreten von CobaltStrike im Netzwerk zu untersuchen, stellten die Sicherheitsforscher fest, dass das gesamte Netzwerk überarbeitet und auf einen umfassenden Ransomware-Angriff vorbereitet wurde.

Die Kriminellen wollten die Ransomware REvil einsetzen und so viel Schaden wie möglich anrichten, indem sie Daten massenhaft verschlüsseln. Zum Glück für den Kunden von Sophos gelang es den Sicherheitsforschern, die laufenden Bemühungen zur Vorbereitung des Netzwerks auf die Ransomware-Nutzlast zu erkennen und die volle Wucht des Angriffs abzuwenden.

Nur eine kleine Anzahl ungeschützter Systeme und Geräte wurden verschlüsselt, was jedoch keine wesentlichen Auswirkungen auf das Unternehmen hatte. Die Kriminellen hinter dem versuchten Angriff hinterließen eine Lösegeldforderung auf den wenigen Geräten, die sie verschlüsselten, und die Lösegeldforderung betrug 2,5 Millionen US-Dollar. Da der groß angelegte Angriff vereitelt wurde, wurde natürlich nichts davon bezahlt.

Was ZDNet und die Sophos-Untersuchung jedoch herausstellen, ist, dass es den bösartigen Akteuren hinter dem Angriff gelungen ist, die legitime ScreenConnect-Fernzugriffssoftware auf über hundert Unternehmenscomputern zu schmuggeln, ohne dass jemand es bemerkt und Alarm schlägt.

Peter Mackenzie, Teammanager von Sophos Rapid Response, zitiert von ZDnet, sagte, dass der gängigste Weg für Bedrohungsakteure, in einem Netzwerk Fuß zu fassen, in der Regel Phishing-Benutzer oder die Ausnutzung von VPN-Schwachstellen oder Systemen ohne aktivierte Multi-Faktor-Authentifizierung sind auf ihren VPNs.

REvil, die Ransomware, die das namenlose Unternehmen in dieser glücklichen Wendung fast getroffen hätte, wurde auch erfolgreich gegen JBS - Amerikas größten Frisch- und Schweinefleischproduzenten - eingesetzt, und im Fall von JBS hatte das Unternehmen nicht so viel Glück. Die Ransomware-Gang hinter diesem Angriff schaffte es, satte 11 Millionen US-Dollar aus JBS herauszuholen.

Mackenzie gab auch einige Sicherheitshinweise, einschließlich dessen, was die Sicherheitsbranche als Ganzes versucht hat, Unternehmen und Unternehmen beizubringen. Zu den wichtigsten Empfehlungen gehören die Installation und Verwaltung aktueller Sicherheitssoftware von einem zentralen Hub auf allen Netzwerkgeräten sowie die Aktualisierung jedes einzelnen Systems mit den neuesten Patches für alle ausgeführte Software.