Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

Alles verschlüsseln

Закодировать всё

Andere Ausgaben dieser Rubrik (6)
  • Zu Favoriten hinzufügen
    Registerkarte hinzufügen

Aus den Fehlern anderer lernen!

Gelesen: 27053 Kommentare: 7 Rating: 8

Donnerstag, 10. Dezember 2020

Wir möchten Ihnen eine belehrende Geschichte mitteilen, damit auch Nutzer, die nicht von Ransomware betroffen wurden, daraus eine Lehre ziehen können.

Der Energiekonzern Enel Group wurde zum zweiten Mal in diesem Jahr von Ransomware angegriffen. Diesmal verlangt das Hacker-Team Netwalker 14 Millionen Dollar Lösegeld für den Dekodierungsschlüssel und die Nichtveröffentlichung mehrerer Terabyte gestohlener Daten.

Anfang Juni war das interne Netzwerk des Energieunternehmens von der Ransomware Snake (auch bekannt als EKANS) angegriffen worden. Aber der Angriffsversuch wurde erkannt, bevor das Schadprogramm verbreitet werden konnte.

Am 19. Oktober wurde eine Lösegeldforderung des Hacker-Teams veröffentlicht.

Netwalker habe etwa 5 Terabyte Daten gestohlen und sei bereit, einige davon in einer Woche zu veröffentlichen, so das Hacker-Team. Außerdem erklärten die Cyberkriminellen, sie werden „jede Datei auf interessante Informationen analysieren“ und auf ihrer Website veröffentlichen.

Diese Taktik wird oft von Hackern verwendet, um den Druck auf das Opfer zu erhöhen und dieses zu zwingen, das Lösegeld zu zahlen.

Quelle

Mit 61 Millionen Kunden aus 40 Ländern zählt der betroffene Konzern zu den größten Energieunternehmen Europas. Nach dem Stand zum 10. August dieses Jahres nahm das Unternehmen mit einem Erlös von rund 90 Mrd. Dollar im Jahr 2019 Rang 87 in der Liste Fortune Global 500.

NetWalker erschien im August 2019. Zunächst hieß die Ransomware Mailto, wurde aber Ende 2019 in NetWalker umbenannt.

Das Schadprogramm stellt ein RaaS-Programm dar (Ransomware as a Service). Der Zugriff auf den Service erfolgt über das spezielle Portal, auf dem sich Hacker-Teams anmelden. Nach der Verifizierung erhalten Hacker Zugang zum Webportal, auf dem sie eigene Versionen der Ransomware entwickeln können.

Danach wird die Ransomware an untergeordnete Hacker-Teams verteilt und diese entscheiden selbst, wie das Schadprogramm verbreitet werden soll.

Quelle

Dieser Angriff wurde noch nicht analysiert. Aber in der Regel verwenden Hacker-Teams die gleichen Verfahren, um in das Netzwerk eines Unternehmens einzudringen.

Der Hacker meldete sich im System über RDP als DomainName\Administrator an, versuchte, Cobalt Strike Beacon auszuführen, und erstellte einen Dump mithilfe von ProcDump und Mimikatz. Danach stellte er eine Verbindung zum Domain-Controller über das RDP-Protokoll her und führte NetWalker mithilfe von PsExec auf allen mit der Domain verbundenen Systemen aus.

Zunächst wurde das Skript c37.ps1 gestartet. Nach einigen Minuten wurde die Datei c37.exe ausgeführt, die in ein temporäres Verzeichnis kopiert und danach gestoppt wurde.

Die Binärdatei c37.exe enthält die folgenden Codes: Neshta, poison, BazarBackdoor, XMRig und den größten Teil von CobaltStrike.

Der Versuch von Analysten, das Programm in einer Sandbox auszuführen, war nicht erfolgreich. Dies zeugt davon, dass in diesen Beacons Techniken zur Umgehung von Sandboxen implementiert wurden.

Einige Minuten nach der Ausführung von AdFind wurde die Eingabeaufforderung geöffnet und die folgenden Befehle wurden entweder kopiert und eingefügt oder manuell eingegeben.

Anschließend wurde das Skript pcr.bat geladen und ausgeführt.

Der gesamte Angriff dauerte 1 Stunde und 5 Minuten. Die Erstinfektion war über ein kompromittiertes Benutzerkonto über RDP erfolgt.

Quelle

Wir haben einen Auszug aus dem Bericht angeführt. Sie finden den vollen Bericht auf Englisch unter dem Link oben. Die wichtigsten Sicherheitslücken liegen auf der Hand.

  • Schwache Administratorpasswörter. Dies ermöglichte es den Cyberkriminellen, sich Zugriff auf das Netzwerk zu verschaffen.
  • Uneingeschränkter Fernzugriff auf das Netzwerk. Es gab keine Liste der IP-Adressen, von denen auf einen bestimmten Computer zugegriffen werden darf.
  • Keine Kontrolle über die Ausführung von Software.
  • Fehlender Scan eingehender Dateien mithilfe von effektiven Sandboxen wie Dr.Web vxCube. Die Hacker verwendeten Tools zur Umgehung frei zugänglicher Sandboxen.

Schlussfolgerung: Obwohl die betroffenen Unternehmen hohe Einkommen haben und vermutlich viel Geld für Sicherheit ausgeben, brauchten die Cyberkriminellen weder ausgeklügelte Hacker-Verfahren zu verwenden noch zur Bestechung oder Erpressung zu greifen.

#Hackerangriff #Lösegeld #Erpressung #Schutz_vor_Datenverlust #Geschichte #Schaden

„Die komplette Wahrheit über Viren & Co.“ empfiehlt

Der Virus drang in das lokale Netzwerk ein und infizierte alle Clients und NAS, die Backups enthalten.

Auszug aus einer Anfrage an den technischen Support von Doctor Web

Kluge Menschen lernen aus den Fehlern anderer. Aber leider nicht alle. Nach wie vor werden schwache Passwörter genutzt, lokale Netzwerke werden nicht in Subnetze geteilt und Rechner mit Backups sind über RDP zugänglich. Wie lange wird dies der Fall sein? Vielleicht bis alle Nutzer gehackt werden.

Unsere Empfehlung: Lernen Sie aus Fehlern anderer!

[Twitter]

Ihre Meinung ist uns wichtig

Um einen Kommentar zu publizieren, müssen Sie sich über Ihr Konto auf der Webseite von Doctor Web einloggen. Wenn Sie noch kein Konto haben, können Sie es anlegen.

Kommentare der Teilnehmer