Abgewehrt in sieben Minuten: die Chronik eines vereitelten Hacker-Angriffs
Trotz aller Präventionsmaßnahmen gelingt es Cyberkriminellen durch neuartige Angriffsmethoden immer wieder, in die Systeme von Unternehmen einzudringen. In solchen Fällen ist eine schnelle Reaktion entscheidend, um weitere Schäden abzuwenden. Das Cyber Threat Operations Team von PwC war im September 2020 mit so einem Fall konfrontiert, als die Cybercrime-Organisation TA505 eine neuartige Malware-Kampagne durchführte.
Mehrere Kunden des Managed Cyber Defence (MCD) Programms – einer Cyber-Security-Dienstleistung von PwC – waren diesem Angriff ausgesetzt. In einem Fall gelang es den Angreifern, alle präventiven Schutzmaßnahmen zu durchbrechen und ein Zielsystem zu kompromittieren. Dank automatisierter Sicherheitssysteme wurde der Vorfall schnell erkannt. Es begann ein Rennen gegen die Zeit.
E-Mail als Einfallstor: Schadcode im Word-Anhang
Am 11. September um 11:28 Uhr schlug das Früherkennungssystem eines Kunden Alarm. Einer Phishing-Mail war es gelungen, alle automatisierten Schutzmechanismen und das E-Mail-Filtersystem zu umgehen und auf einem Rechner des Unternehmens zu landen. Die E-Mail wirkte vertrauenswürdig, enthielt aber ein Word-Dokument mit schadhaftem Makro-Code. Ein Klick reichte, um das System zu kompromittieren und den Angreifern ein Tor in das Unternehmensnetzwerk zu öffnen.
Hinter dem Angriff stand die kriminelle Organisation TA505, die seit 2014 aktiv ist. Ursprünglich führte die Gruppe primär Malware-Angriffe für Dritt-Akteure aus. Dann konzentrierte sie sich auch auf eigene Kampagnen mit selbst entwickelter Malware. Seit 2019 setzt die Gruppe auf eine gängige Ransomware-Masche mit der Schadsoftware CL0P. Sie verschafft sich Zugang zu Unternehmensnetzwerken, stiehlt Daten, verschlüsselt so viele Systeme wie möglich und droht damit, vertrauliche Daten auf einer selbst betriebenen Leaking-Plattform zu veröffentlichen – es sei denn, das Unternehmen zahlt ein hohes Lösegeld.
Die Kenntnis über den Angreifer TA505 zeigte sich als entscheidender Faktor, um das Schadpotenzial der eingeschleusten E-Mail rechtzeitig zu erkennen. Bereits im Vorfeld analysierte das Cyber Threat Operations Team von PwC die charakteristischen Techniken, Taktiken und Verfahren von TA505 und erstellte sogenannte Indikatoren für eine Kompromittierung (engl. Indicator of compromise, kurz IOC). IOCs sind spezielle Artefakte der IT-Forensik wie zum Beispiel Prüfsummen von Malware-Dateien oder URLs. Eine spezielle Software, die verdächtiges Verhalten von Nutzern registriert (engl. User Entity and Behaviour Analytics, kurz UEBA), greift auf diese Artefakte zurück. Sie schlug schließlich Alarm, als sie bei einem automatisierten Scan die „Fingerabdrücke“ von TA505 erkannte.
Cybersecurity-Bots unterstützen Analysten
Bei der Abwehrreaktion war keine Zeit zu verlieren. Autonom agierende Sicherheitssysteme und Bots arbeiteten Hand in Hand mit menschlichen Experten. Zunächst analysierte ein Bot die Daten des Vorfalls und glich sie mit allen vorab definierten Indikatoren für Kompromittierungen ab. Der Alarm wurde als kritisch eingestuft. Um 11:32 Uhr – nur vier Minuten nach dem erkannten Vorfall – untersuchte ein Analyst des MCD-Teams die Angriffskette und die betroffenen Daten. Er bestätigte die Bedrohung und isolierte das betroffene System. Der schadhafte Code wurde dabei in eine Cloud-Sandbox verfrachtet – einen geschützten und isolierten Bereich, in dem die Malware keinen Schaden anrichten kann. Das Ziel war es, eine interne Ausbreitung der Malware zu verhindern und eventuelle Datendiebstähle sowie die weitere Auskundschaftung der Systemlandschaft zu blockieren. Das Security-Operations-Team des Kunden wurde über eine Messaging-Lösung informiert und in Echtzeit auf dem Laufenden gehalten. Um 11:35 Uhr war die unmittelbare Bedrohung eingegrenzt – sieben Minuten nach der ersten Alarmierung.
Diese kurze Reaktionszeit war nur möglich durch die automatisierten Security-Systeme. Sie haben den kritischen Vorfall zu den Analysten des MCD-Teams eskaliert – und parallel dazu im Hintergrund 85 weitere Warnungen bearbeitet, die niedriger priorisiert waren. Bereits in den 24 Stunden vor dem Ernstfall haben die Systeme 50 Fälle eigenständig abgearbeitet, die sich als falsche Alarme herausgestellt haben. Der Einsatz von Bots schafft für menschliche Cyber-Analysten den Freiraum, zielgerichtet und schnell auf die wirklich kritischen Fälle reagieren zu können.
Weitere Verteidigungsmaßnahmen
Auch nachdem die unmittelbare Bedrohung gestoppt war, stellten weitere Maßnahmen sicher, dass der Angriff vollständig abgewendet wurde. So prüfte das MCD-Team unter anderem alle relevanten Verbindungsdaten. Für die Ursachenanalyse wurden betroffene Dateien und weitere Artefakte an ein spezialisiertes Team von PwC gesendet. Es analysierte den Angriff und stellte zusätzliche Kompromittierungs-Indikatoren für die automatisierten Systeme bereit. Diese Maßnahmen zielten darauf ab, mehrfache Webseitenumleitungen der Malware und andere taktische Schritte der Angreifer zu bekämpfen – und vor allem neue Angriffsversuche ad hoc zu erkennen. Hierbei identifizierte das Team eine zweite infizierte Workstation, die sofort isoliert wurde.
Um die Systeme des Kunden vollständig zu bereinigen und sicherzustellen, dass keine weiteren Angriffe durchkommen, entfernte das MCD-Team schließlich alle Spuren der mit der Angriffskette verbundenen Dateien von den betroffenen Systemen – inklusive der ausgeführten Schadsoftware und aller weiteren vorhandenen Viren-Dropper, die im Zuge des Angriffs auf den Laufwerken gelandet sind. Dem Kunden wurde nahegelegt, die Anmeldedaten aller betroffenen Benutzerkonten zurückzusetzen. Der Vorfall war erfolgreich behoben, ohne Datenverluste oder weitere Schäden. Bevor die Eindringlinge die eingeschleusten Flammen zu einem zerstörerischen Großbrand weiterentwickeln konnten, hat die schnelle Gegenreaktion die Bedrohung im Keim erstickt.
Risikofaktor Homeoffice
Auch dieser Vorfall zeigt wieder sehr gut, dass das Bedrohungspotenzial von Hackerangriffen weiterhin steigt. Dies liegt vor allem an zwei Faktoren: Einerseits daran, dass Hacker häufiger als Gruppen agieren, um neue und vor allem effektivere Schadsoftware und Angriffstechniken zu entwickeln. Sowie andererseits daran, dass – bedingt durch die aktuelle HomeOffice-Situation – viele weitere Angriffsmöglichkeiten für Hacker entstanden sind. Viele Unternehmen haben ihre Mitarbeiter ohne besonderer zusätzlicher Schutzvorkehrungen in die Heimarbeit geschickt. Das remote Arbeiten birgt vor allem deshalb so viele Gefahren, weil sich der Mitarbeiter nicht mehr hinter der firmeneigenen Firewall befindet, sondern hinter der Standard-Firewall des Modem-Routers. Besonders diese Router bieten nur einen bedingten Schutz für sensible Unternehmensdaten.
Fazit
Um mit den aktuellen Angriffstechniken der Hacker mithalten zu können, gilt es als Unternehmen in neue Lösungen zu investieren und die Cyber-Defence-Strategie laufend zu aktualisieren. Damit man Unternehmen schnell einen starken Schutz ohne jegliche Fixkosten ermöglichen kann, hat PwC speziell für das Detektieren und Reagieren auf solche Angriffsformen einen Managed Service entwickelt namens MCD (Managed Cyber Defence). Unternehmen die durch MCD profitieren, sind nicht nur im Falle eines laufenden Angriffs geschützt, sondern erkennen zusätzlich Hacker, welche sich bereits im Unternehmensnetzwerk befinden.
Cyber Security & Privacy News
Lesen Sie hier, wie Sie Ihr Unternehmen vor Cyberangriffen schützen können. Wir liefern Ihnen Informationen zu aktuellen Entwicklungen, Studien und geben weitere Insights aus den Bereichen Cybersicherheit und Datenschutz, die Sie bei der Entwicklung von Strategien und Maßnahmen zur Datensicherheit unterstützen sollen.
Contact us
