Die folgenden drei Fälle aus der Praxis des Security Operations Center (SOC) von Barracuda XDR zeigen, was passiert, wenn die erste Verteidigungslinie Lücken aufweist. [...]
Fall 1: Ransomware-Angriff auf ein IT-Unternehmen
Schwachstellen: Unvollständiger Geräteschutz, schwache Nutzerauthentifizierung und keine Transparenz für das SOC-Team
In diesem Fall nutzten die Angreifer VPN-Anmeldeinformationen für den ersten Angriff und verschafften sich durch eine Zero-Day-Schwachstelle Zugang. Im Netzwerk konnten sie im nächsten Schritt Server kompromittieren, sich zusätzliche Berechtigungen erteilen, andere Administratorenkonten und -gruppen manipulieren und nicht autorisierte Kommunikationskanäle mit einem bösartigen Command-and-Control-Server (C&C) einrichten.
Wie in vielen anderen Fällen nutzten die Angreifer handelsübliche IT-Tools für ihre Aktivitäten innerhalb des Netzwerks, die nicht zwangsläufig sofort Verdacht erregen würden. Die Angreifer nutzen sie für Netzwerk-Scans, Remote-Downloads von bösartigen Payloads oder Skripten oder um weitere Ports, laufende Dienste oder Teile des Netzwerks zu identifizieren, die sich für weitere Angriffe eignen könnten.
Der Ransomware-Angriff, der auch Datenexfiltration beinhaltete, führte zu einer Unterbrechung der Betriebsprozesse und zu erheblichen finanziellen Verlusten. Im Rahmen des Angriffs wurden geistiges Eigentum und Kundendaten entwendet. Zudem kam es zu mehreren Compliance-Verstößen.
Fall 2: Datenschutzverletzung in einem Fertigungsunternehmen
Schwachstellen: Fehlerhafte Sicherheitskonfigurationen, schwache Nutzerauthentifizierung und unzureichende Sicherung der Back-up-Dateien
In diesem Fall nutzen die Angreifer gestohlene Anmeldeinformationen, um sich mithilfe eines handelsüblichen VPN-Tools unbefugt Zugang zu einem Remote-Desktop-Protokoll-Server (RDP) zu verschaffen. Sie machten sich dafür fehlerhafte Sicherheitskonfigurationen zunutze. Diese kritischen Fehlkonfigurationen führten dazu, dass über 100 an das Netzwerk angeschlossene Geräte kompromittiert wurden und das ERP-System des betroffenen Unternehmens erheblich beeinträchtigt wurde. Die Angreifer löschten auch die Back-up-Dateien des Unternehmens.
Wie beim ersten Vorfall nutzten die Angreifer verschiedene Tools, um das System zu kompromittieren, Brute-Force-Angriffe durchzuführen, Passwörter zu entwenden, weitere Sicherheitslücken zu identifizieren und mit lateralen Bewegungen und Remote Code Execution in das System einzudringen.
Der Angriff störte die Betriebsprozesse des Unternehmens erheblich: Die Produktion kam komplett zum Stillstand und der Verlust der Back-up-Dateien sorgte dafür, dass die Ausfallzeiten sowie die vollständige Wiederaufnahme der Produktion mehr als zwei Monate dauerten.
Fall 3: Datendiebstahl bei einem Einzelhändler
Schwachstellen: Öffentlich zugängliche Netzwerkressourcen, schwache Nutzerauthentifizierung und keine Transparenz für das SOC-Team
In diesem Fall war ein wichtiger Server einschließlich des Remote-Desktop-Protokolls (RDP) aus Versehen öffentlich zugänglich. Die Angreifer nutzten den offenen RDP-Kanal, um in das Netzwerk einzudringen und die Domänen-Controller (DCs) anzugreifen. Sie erstellten „legitime“ Konten, die sie später wieder löschten, um ihre Spuren zu verwischen. Durch diesen Zugriff konnten sie sensible Daten entwenden und die gestohlenen Informationen im nächsten Schritt im Dark Web verkaufen.
Die Angreifer nutzten ein handelsübliches Threat Emulation Tool, das dazu verwendet werden kann, Datenpersistenz zu halten, Berechtigungen zu erweitern und Daten zu exfiltrieren. Außerdem nutzten sie Tools zum Knacken von Passwörtern und Tools, um die Umgebung des Opfers besser zu verstehen und weitere Schwachstellen zu identifizieren.
Die gestohlenen Daten umfassten vertrauliche Kundeninformationen und wertvolles, geistiges Eigentum. Für das Unternehmen hatte der Angriff Reputationsschäden zur Folge, da das Vertrauen der Kunden in das Unternehmen durch die unbefugte Offenlegung ihrer Daten im Dark Web untergraben wurde.
Fazit
Schwachstellen in der IT-Sicherheit können für Unternehmen schwerwiegende Folgen haben, sowohl in finanzieller Hinsicht als auch für die Betriebsprozesse und die Reputation bei Kunden, Lieferanten und Partnern. Die Integration von Netzwerk-, Endpunkt-, Server-, Cloud- und E-Mail-Sicherheit durch XDR ermöglicht ein noch nie dagewesenes Maß an Bedrohungserkennung und Reaktionsfähigkeit. Ausschlaggebend hierfür sind die Daten. Mithilfe einer umfassenden XDR-Lösung wird jeder Winkel einer IT-Infrastruktur – von E-Mails bis hin zu Cloud-Anwendungen – mit fortschrittlichen Sicherheitsmaßnahmen, einem umfassenden Spektrum an Abwehrtools sowie proaktiven Strategien zur Bedrohungserkennung überwacht und geschützt. Das ermöglicht schnelles Handeln und minimiert das Zeitfenster für Bedrohungsakteure.
* Adam Khan ist VP of Global Security Operations, Barracuda XDR.
Be the first to comment