Sicherheitsexperten warnen, dass Opfer von Ransomware-Angriffen alle Kennwörter ändern MÜSSEN

Wenn ein Unternehmen von Ransomware heimgesucht wird, denken viele, dass die einzige Sorge darin besteht, die Daten so schnell wie möglich wiederherzustellen. Anfang dieser Woche erzählte der Cybersicherheitsreporter Brian Krebs jedoch die Geschichte eines Ransomware-Angriffs auf einen IT-Dienstleister mit dem Namen Virtual Care Provider Inc. (VCPI) und zeigte uns dabei, wie viele andere Faktoren hinzukommen Spielen Sie, wenn die Hacker die Daten anderer als Geiseln nehmen.

Wir sollten wahrscheinlich damit beginnen, dass VCPI Dienstleistungen für mehr als 100 Pflegeheime und Gesundheitseinrichtungen in 45 Bundesstaaten erbringt. Es sollte nicht allzu schwer zu erkennen sein, dass eine Störung der IT-Infrastruktur eines solchen Unternehmens ziemlich verheerend sein kann. Das wahre Ausmaß der Gefahr wird jedoch erst sichtbar, wenn Sie sich ansehen, wie sich der Angriff entwickelt hat.

Es wurde zum ersten Mal in den frühen Morgenstunden des 17. November bemerkt, als die Angreifer die Ryuk-Ransomware im Netzwerk von VCPI losließen. Kurz darauf wurden alle vom Cloud-Dienstanbieter gehosteten Daten verschlüsselt, und VCPI wurde mitgeteilt, dass es den Schlüssel haben kann, der die Dateien entsperrt, wenn es Bitcoin im Wert von erstaunlichen 14 Millionen US-Dollar auszahlt. Es ist ein ziemlich großes Lösegeld, aber auch die Datenmenge, die als Geiseln gehalten wurde.

Der Angriff hatte schreckliche Auswirkungen auf VCPI und seine Kunden

Die Kunden von VCPI haben von E-Mail über Telefon- und Abrechnungssysteme bis hin zur Gehaltsabrechnung keinen Zugriff mehr. Patientenakten waren nicht zugänglich, und einige Ärzte konnten aufgrund des Angriffs keine Bestellungen für lebenswichtige Medikamente aufgeben, was bedeutete, dass die Ransomware-Infektion für einige Patienten fatale Folgen gehabt haben könnte. Einige Tage nach dem Vorfall teilte Karen Christianson, CEO von VCPI , Brian Krebs mit, dass ihr Unternehmen nicht über die Ressourcen verfügt, um das Lösegeld zu zahlen, und dass der Angriff das Ende des Datenhosting-Geschäfts bedeuten könnte.

Die anfänglichen Vorhersagen ergaben sich jedoch nicht. Obwohl die Kunden von VCPI nach dem Angriff erhebliche Probleme hatten, gelang es dem Hosting-Anbieter, die Daten wiederherzustellen. Wahrscheinlich, um den von VCPI erlittenen PR-Schaden zu begrenzen, bat Karen Christianson Brian Krebs, einen Folgebericht über die Genesung des Unternehmens zu verfassen. Krebs erklärte sich bereit, ein Interview zu vereinbaren, erhielt jedoch kurz nach der Vereinbarung von Datum und Uhrzeit eine E-Mail, die seine Aufmerksamkeit sofort auf sich zog.

Das Ausmaß der Infiltration wird deutlich

Die Nachricht soll von einem Mitglied der Hacking-Gruppe stammen, die VCPI angegriffen hat, was zumindest für Brian Krebs nicht wirklich ungewöhnlich ist. Die Anfrage der E-Mail war jedoch ziemlich seltsam. Der Gauner bat Krebs, den CEO von VCPI daran zu erinnern, dass das Rabattangebot für das Lösegeld bald ausläuft.

Der mutmaßliche Ransomware-Betreiber war auf das geplante Interview aufmerksam geworden, und Krebs bezweifelte, dass dieses Wissen auf Vermutungen beruhte. Der Cybersecurity-Reporter war der Ansicht, dass die Hacker neben der Ransomware auch andere Tools verwendet hatten, mit denen sie auf die internen Systeme und die Kommunikation von VCPI zugreifen konnten. Krebs rief Experten von Hold Security an und bat sie, ihm zu helfen, den Umfang des Kompromisses besser zu verstehen.

Die Untersuchung ergab bald den Beweis, dass die Infrastruktur von VCPI bereits im September 2018 zum ersten Mal infiltriert wurde, höchstwahrscheinlich durch die Verwendung eines schädlichen Word-Dokuments mit Makroanweisungen. Im Word-Dokument wurde Emotet heruntergeladen, eine Malware-Familie, die für ihre wurmartigen Funktionen bekannt ist, mit denen sie sich innerhalb eines Netzwerks seitwärts bewegen kann.

Vor dem Einsatz der Ryuk-Ransomware machten die Hacker eine Runde mit dem Diebstahl von Passwörtern

Nachdem die Gauner mit Emotet im VCPI-Netzwerk Fuß gefasst hatten, setzten sie Trickbot ein - einen Banktrojaner, der für seine Vielseitigkeit und seine leistungsstarken Funktionen zum Stehlen von Anmeldeinformationen gepriesen wurde. Die Experten von Hold Security haben sogar die Kommunikation zwischen Betrügern abgefangen, was darauf hindeutet, dass während des VCPI-Angriffs Benutzernamen und Kennwörter für bis zu 300 Websites und Onlinedienstanbieter kompromittiert wurden. Dazu gehörten Passwortverwaltungsplattformen, Banken-, Abrechnungs- und Gehaltsportale, Rezeptverwaltungs- und medizinische Versorgungsdienste, Versand- und Portokonten usw. Brian Krebs brachte die Beweise während des Interviews mit Karen Christianson vor, obwohl VCPI dies nicht zugegeben hat Offiziell lässt die Tatsache, dass das Interview kurz darauf abrupt endete, darauf schließen, dass der CEO absolut keine Ahnung vom Diebstahl hatte.

Seit einiger Zeit konzentrieren sich Ransomware-Betreiber eher auf Organisationen als auf Endbenutzer. Wir reden nicht mehr über Script-Kiddies, die Chaos anrichten und schnell Geld verdienen wollen. Neuere Angriffe werden von hoch entwickelten Hacking-Teams ausgeführt, die über eine ganze Reihe von Tools und Ressourcen verfügen. Manchmal ist die Bereitstellung der Ransomware nur ein kleiner Teil des gesamten Vorgangs. Unternehmen wie VCPI müssen lernen, dass Hacker an vielen verschiedenen Fronten auftreten können und dass Anmeldedaten häufig die sprichwörtliche Frucht des Schwebens sind. Aus diesem Grund sollte, wie Brian Krebs in seinem Bericht feststellte, das Ändern von Passwörtern für jedes Unternehmen, das von einem Cyberangriff betroffen ist, ganz oben auf der Prioritätenliste stehen, unabhängig davon, ob es sich um einen Ransomware-Vorfall handelt oder nicht.

January 9, 2020

Antworten