Wie Angreifer gezielt Schwachstellen in der IT-Sicherheit angreifen: drei Fälle aus der SOC-Praxis

Die folgenden drei Fälle aus der Praxis des Security Operations Center (SOC) von Barracuda XDR zeigen, was passiert, wenn die erste Verteidigungslinie Lücken aufweist. [...]

Jedes IT-Sicherheitskonzept ist nur so gut wie seine Schwachstellen. Dies zeigt sich täglich für die Sicherheitsexperten im Security Operations Center (SOC) von Barracuda. (c) stock.adobe.com/Damian Sobczyk

Fall 1: Ransomware-Angriff auf ein IT-Unternehmen

Schwachstellen: Unvollständiger Geräteschutz, schwache Nutzerauthentifizierung und keine Transparenz für das SOC-Team

In diesem Fall nutzten die Angreifer VPN-Anmeldeinformationen für den ersten Angriff und verschafften sich durch eine Zero-Day-Schwachstelle Zugang. Im Netzwerk konnten sie im nächsten Schritt Server kompromittieren, sich zusätzliche Berechtigungen erteilen, andere Administratorenkonten und -gruppen manipulieren und nicht autorisierte Kommunikationskanäle mit einem bösartigen Command-and-Control-Server (C&C) einrichten.

Wie in vielen anderen Fällen nutzten die Angreifer handelsübliche IT-Tools für ihre Aktivitäten innerhalb des Netzwerks, die nicht zwangsläufig sofort Verdacht erregen würden. Die Angreifer nutzen sie für Netzwerk-Scans, Remote-Downloads von bösartigen Payloads oder Skripten oder um weitere Ports, laufende Dienste oder Teile des Netzwerks zu identifizieren, die sich für weitere Angriffe eignen könnten.

Der Ransomware-Angriff, der auch Datenexfiltration beinhaltete, führte zu einer Unterbrechung der Betriebsprozesse und zu erheblichen finanziellen Verlusten. Im Rahmen des Angriffs wurden geistiges Eigentum und Kundendaten entwendet. Zudem kam es zu mehreren Compliance-Verstößen.

Fall 2: Datenschutzverletzung in einem Fertigungsunternehmen

Schwachstellen: Fehlerhafte Sicherheitskonfigurationen, schwache Nutzerauthentifizierung und unzureichende Sicherung der Back-up-Dateien

In diesem Fall nutzen die Angreifer gestohlene Anmeldeinformationen, um sich mithilfe eines handelsüblichen VPN-Tools unbefugt Zugang zu einem Remote-Desktop-Protokoll-Server (RDP) zu verschaffen. Sie machten sich dafür fehlerhafte Sicherheitskonfigurationen zunutze. Diese kritischen Fehlkonfigurationen führten dazu, dass über 100 an das Netzwerk angeschlossene Geräte kompromittiert wurden und das ERP-System des betroffenen Unternehmens erheblich beeinträchtigt wurde. Die Angreifer löschten auch die Back-up-Dateien des Unternehmens.

Wie beim ersten Vorfall nutzten die Angreifer verschiedene Tools, um das System zu kompromittieren, Brute-Force-Angriffe durchzuführen, Passwörter zu entwenden, weitere Sicherheitslücken zu identifizieren und mit lateralen Bewegungen und Remote Code Execution in das System einzudringen.

Der Angriff störte die Betriebsprozesse des Unternehmens erheblich: Die Produktion kam komplett zum Stillstand und der Verlust der Back-up-Dateien sorgte dafür, dass die Ausfallzeiten sowie die vollständige Wiederaufnahme der Produktion mehr als zwei Monate dauerten.

Fall 3: Datendiebstahl bei einem Einzelhändler

Schwachstellen: Öffentlich zugängliche Netzwerkressourcen, schwache Nutzerauthentifizierung und keine Transparenz für das SOC-Team

In diesem Fall war ein wichtiger Server einschließlich des Remote-Desktop-Protokolls (RDP) aus Versehen öffentlich zugänglich. Die Angreifer nutzten den offenen RDP-Kanal, um in das Netzwerk einzudringen und die Domänen-Controller (DCs) anzugreifen. Sie erstellten „legitime“ Konten, die sie später wieder löschten, um ihre Spuren zu verwischen. Durch diesen Zugriff konnten sie sensible Daten entwenden und die gestohlenen Informationen im nächsten Schritt im Dark Web verkaufen.

Die Angreifer nutzten ein handelsübliches Threat Emulation Tool, das dazu verwendet werden kann, Datenpersistenz zu halten, Berechtigungen zu erweitern und Daten zu exfiltrieren. Außerdem nutzten sie Tools zum Knacken von Passwörtern und Tools, um die Umgebung des Opfers besser zu verstehen und weitere Schwachstellen zu identifizieren.

Die gestohlenen Daten umfassten vertrauliche Kundeninformationen und wertvolles, geistiges Eigentum. Für das Unternehmen hatte der Angriff Reputationsschäden zur Folge, da das Vertrauen der Kunden in das Unternehmen durch die unbefugte Offenlegung ihrer Daten im Dark Web untergraben wurde.

Fazit

Schwachstellen in der IT-Sicherheit können für Unternehmen schwerwiegende Folgen haben, sowohl in finanzieller Hinsicht als auch für die Betriebsprozesse und die Reputation bei Kunden, Lieferanten und Partnern. Die Integration von Netzwerk-, Endpunkt-, Server-, Cloud- und E-Mail-Sicherheit durch XDR ermöglicht ein noch nie dagewesenes Maß an Bedrohungserkennung und Reaktionsfähigkeit. Ausschlaggebend hierfür sind die Daten. Mithilfe einer umfassenden XDR-Lösung wird jeder Winkel einer IT-Infrastruktur – von E-Mails bis hin zu Cloud-Anwendungen – mit fortschrittlichen Sicherheitsmaßnahmen, einem umfassenden Spektrum an Abwehrtools sowie proaktiven Strategien zur Bedrohungserkennung überwacht und geschützt. Das ermöglicht schnelles Handeln und minimiert das Zeitfenster für Bedrohungsakteure.

* Adam Khan ist VP of Global Security Operations, Barracuda XDR.


Mehr Artikel

Ismet Koyun, CEO und Gründer der KOBIL Gruppe (c) KOBIL Gruppe
Kommentar

Wie SuperApps den Mobilitätsmarkt revolutionieren können

Bahntickets, Busse, Carsharing, Taxis – wer mobil sein will, benötigt eine Vielzahl von Apps. Das muss nicht sein, sagt Ismet Koyun, Gründer und CEO des Unternehmens KOBIL, Weltmarktführer für digitale Identitäts- und mobile Sicherheitslösungen. Neue Technologien könnten all diese Angebote in einer einfachen, komfortablen und sicheren Lösung bündeln. Intelligente, vernetzte Verkehrssysteme und Datenaustausch auf österreichischer und europäischer Ebene bereiten dafür den Weg und schaffen die nötigen Voraussetzungen. […]

News

Fünf Aspekte, die Führungskräfte über Datenbanken wissen sollten

Die Datenbanklandschaft hat sich in den letzten zehn Jahren gravierend verändert. Wo früher meist eine einzige Plattform zum Einsatz kam, entsteht in vielen Unternehmen heute geradezu ein Wildwuchs an unterschiedlichen Technologien. Redgate, Anbieter von DevOps-Lösungen für End-to-End-Datenbankmanagement, nennt fünf Gründe, wie es dazu kam – und was Business Leader wissen müssen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*