Cyber Security Vorfälle im März 2019

Von Clemens Frank | Apr. 17 2019 | Blog

Cyber Security Vorfälle

Ständig kommt es zu Cyber Attacken auf bekannte und auch mittelständische und kleine Unternehmen. So auch im März dieses Jahres, unter anderem wurde Norsk Hydro, ein norwegischen Aluminiumproduzent, Opfer einer Ransomware. Alter Solutions Deutschland hat den Vorfall für Sie analysiert. Lesen Sie, wie der Angriff vermutlich durchgeführt wurde und wie Norsk Hydro reagiert hat. Außerdem finden Sie eine Übersicht weiterer relevanter Cyber Security Vorfälle und erfahren Sie, welcher Fehler Facebook mit den Passwörtern von Nutzern unterlaufen ist.

War die Attacke auf Norsk Hydro ein gezielter Angriff?

Wer dachte, dass sich seit 2016, als mehrere (vor allem deutsche) Unternehmen der Ransomware Locky zum Opfer gefallen waren (darunter auch die Deutsche Bahn), etwas geändert hätte, der wurde in diesem Jahr bereits mehrfach eines Besseren belehrt. Zuletzt vergangene Woche, als der norwegische Aluminiumproduzent Norsk Hydro Ziel der Ransomware LockerGoga wurde und daraufhin vorübergehend die gesamte Produktion auf manuellen Betrieb umstellen musste. Bemerkenswert an diesem Angriff ist, dass das französische Beratungsunternehmen Altran bereits Ende Januar (sehr wahrscheinlich) von ebendieser Ransomware betroffen war. Altran hat den Angriff jedoch nach Möglichkeit unter Verschluss gehalten, wodurch nicht viel über dessen Entstehung bekannt wurde und demnach auch andere Unternehmen sowie Forscher nicht daraus lernen konnten.

Die Reaktion von Norsk Hydro, dem zweitgrößten Arbeitgeber Norwegens, fiel im Vergleich dazu gegenteilig, nahezu vorbildlich, aus. Nicht nur die Mitarbeiter, sondern auch die Öffentlichkeit sowie Anteilseigner wurden umgehend informiert und ein Notfallplan in Gang gesetzt, der auf eine gute Planung zurückzuführen ist. Eigenen Angaben zufolge wurden augenblicklich Security Experten von Microsoft und anderen IT Security Partnern eingeflogen und ebenso die Nationale Sicherheitsbehörde (NSM) in die Ermittlungen eingebunden.
Zudem wurde auf der Website des Unternehmens (nachdem diese wieder online war) der aktuelle Status der Produktion mit täglichen Updates dargelegt.

Ransomware wie LockerGoga verschlüsselt, einmal auf ein System gelangt und dort ausgeführt, alle auf diesem System befindlichen Daten und fordert den Nutzer daraufhin zu einer Lösegeldzahlung (meistens in Bitcoin) auf. Durch die Verschlüsselung wird das gesamte System unbrauchbar gemacht und ob die Daten nach Lösegeldzahlung wieder entschlüsselt werden ist mindestens fraglich. Für Unternehmen bedeutet das in der Regel, dass die gesamte IT-Infrastruktur ausfällt. Wie Malware-Experten berichten, ist die Ransomware LockerGoga jedoch nicht in der Lage sich selbständig zu verbreiten (wie es bspw. die WannaCry Ransomware kann). Stattdessen deaktiviert diese alle Netzwerkadapter, damit das System nicht mehr von außen erreicht werden kann, ändert das Administratorkennwort und loggt den jeweiligen Benutzer aus. Dadurch stellt sich zum einen die Frage, wie die Malware den gesamten Konzern, ausgehend von einem Standort in den USA, in mehreren Ländern infiltrieren konnte und zum anderen, wie die Malware überhaupt erst ins unternehmensinterne Netzwerk gelangt ist.

Eine viel diskutierte Vermutung ist, dass der Windows Verzeichnisdienst Active Directory genutzt wurde, um die Malware zu verbreiten(es sind nur Windows-basierte Systeme betroffen). Dazu müssten die Angreifer jedoch zu Beginn direkt über Administratorrechte für diesen Service verfügt haben, um die Malware dort zu platzieren, was eine gezielte Attacke wahrscheinlicher macht. Zudem ist es sehr wahrscheinlich, dass die Zugangsdaten über Phishing E-Mails von privilegierten Nutzern abgegriffen wurden. IT-Security Forscher belegen ebenfalls, dass es sich um einen gezielten Angriff gehandelt haben muss. Dass die Malware über eine valide Signatur verfügt hat, hat die Verbreitung zudem stark erleichtert.

Dass der Schaden von Norsk Hydro verhältnismäßig überschaubar geblieben ist (soweit sich das zum bisherigen Zeitpunkt sagen lässt), hat vor allem die folgenden zwei Gründe:
Zum einen benutzt der Konzern das Cloud-basierte Office365 (welches von dem Angriff nicht betroffen ist), wodurch weiterhin mit Smartphones und Tablets kommuniziert werden konnte. Somit konnte die Produktion zumindest eingeschränkt im manuellen Betrieb weitergeführt werden. Zum anderen waren aktuelle Backups vorhanden, welche seit dem Vorfall nach und nach wieder eingespielt werden. Eigenen Angaben zufolge lief die Produktion eine gute Woche nach dem Vorfall bereits wieder bei 70-80%.
Jedoch bringen der vorübergehende Ausfall der Produktion sowie die Kosten für die Wiederherstellung der IT und für die nur eingeschränkt arbeitenden Mitarbeiter Verluste mit sich, welche bis jetzt noch nicht zu beziffern sind, aber sehr wahrscheinlich im Millionenbereich liegen.

Nur wenige Tage nach dem Vorfall bei Norsk Hydro waren auch zwei Chemiekonzerne in den USA von LockerGoga betroffen. Dass diese daraufhin Hunderte neue Computer bestellen, zeigt, dass diese offensichtlich weitaus schlechter auf eine solche Attacke vorbereitet waren.

Anfang des Monats wurde ebenfalls das IT-System der Behörden von Jackson County im US-Bundesstaat Georgia von einer ähnlichen Ransomware (Ryuk) getroffen.
Nachdem die IT-Infrastruktur der gesamten Verwaltung (inklusive Polizei) über zwei Wochen lang lahmgelegt war, entschloss man sich die 400.000 USD Lösegeld zu zahlen.
Die Ransomware Ryuk war ebenfalls nicht zum ersten Mal in Erscheinung getreten, sondern bereits Monate zuvor.

Damit Ihr Unternehmen nicht das nächste Opfer von Ransomware wird, empfehlen wir:

Kontinuierliche Backups

s

Sensibilisierung der Mitarbeiter für Social Engineering und Phishing Methoden

U

Installation eines Intrusion Detection Systems mit aktuellsten Malware-Signaturen

Vergabe von Administratorrechte nur an Nutzer, welche diese wirklich benötigen (principle of least privilege)

l

Erstellung eines Incident Response Plan bevor der Notfall eintritt

Weitere Security Vorfälle im März

  • Citrix: Sechs bis zehn Terrabyte an vertraulichen Informationen wurden dem US-amerikanischen Softwareunternehmen Citrix Anfang des Monats gestohlen. Besonders brisant macht diesen Hack, dass dieser mutmaßlich von iranischen Hackern ausgeführt wurde. Citrix bietet vielen namhaften Unternehmen Cloud-Dienstleistungen an, unter anderem aber auch dem US-amerikanischen Militär. Was bei der Attacke genau gestohlen.wurde ist (bislang) unklar. Zugriff konnten die Hacker vermutlich mit sogenanntem password sprayingerlangen.
  • Verifications.io: Forscher haben einen öffentlichen Datensatz von 763 Millionen E-Mail-Adressen gefunden. Neben den E-Mail Adressen enthielt der Datensatz mitunter auch private Daten wie Namen und Adressen, Passwörter waren jedoch nicht enthalten. Der Datensatz gehörte zum E-Mail Marketing Service verifications.io, welcher seitdem seine Internetpräsenz offline genommen hat und nicht mehr erreichbar ist.
  • Facebook: Auch Facebook hat mal wieder auf sich aufmerksam gemacht. Es wurde bekannt, dass in einer internen Datenbank des Internetriesen seit 2012 schätzungsweise 200-600 Millionen Passwörter unverschlüsselt und für alle Mitarbeiter einsehbar gespeichert waren.