Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Schnelles Handeln verhindert Schäden durch Ransomware

Advertorial

 

Kein Unternehmen weltweit ist vor Cyberangriffen gefeit. Es gibt jedoch moderne Lösungen, die in der Lage sind, Schäden in Echtzeit zu erkennen und abzuwehren. Eine Lösung, die sich auf diesem Gebiet besonders bewährt hat, ist Managed Detection and Response – kurz MDR. Von der Effizienz eines MDR-Services hat sich nun auch ein international tätiges Familienunternehmen aus der Sanitärindustrie überzeugt, welches kürzlich Opfer eines Cyberangriffs wurde. Das Unternehmen setzt seit Anfang 2021 auf die MDR-Lösung von Open Systems und nutzt zudem die Endpoint-Detection-and-Response-(EDR-) sowie die Network-Detection-and-Response-(NDR-)Dienste des IT-Sicherheitsanbieters.

Für die Bereitstellung der MDR- und EDR-Dienste arbeitet Open Systems mit Microsoft zusammen. Im Fall von MDR kommen Azure Sentinel und die eigens verwalteten Workbooks von Open Systems zum Einsatz. So können potenzielle Gefahren frühzeitig erkannt werden. Der EDR-Dienst verwendet Microsoft Defender for Endpoint – eine Plattform für Endpunktschutz, Endpunkterkennung und Schwachstellenmanagement.

Der Einsatz eines IT-Sicherheitstools allein reicht jedoch nicht aus, um bestmöglich geschützt zu sein. Auch die Reaktionszeit des Security Operations Centers (SOC) ist im Fall eines Angriffs essenziell für eine erfolgreiche Abwehr.

Der Angriff

Am 10. Juni 2021 um 11.50 Uhr Ortszeit registrierte der Microsoft Defender verdächtiges Verhalten am Arbeitsplatz eines für das Sanitärunternehmen tätigen Mitarbeiters. Der Defender veranlasste daraufhin die automatische Erstellung eines Tickets und löste gleichzeitig einen Alarm im SOC von Open Systems aus. Der IT-Sicherheitsanbieter entdeckte auf dem Rechner des Mitarbeiters schließlich ein verdächtiges PowerShell-Skript.

Das betroffene Unternehmen und Open Systems legten die Maßnahmen, die in einem solchen Fall zu ergreifen sind, bereits im Vorfeld fest, sodass Open Systems unmittelbar reagieren und den befallenen Rechner vom Unternehmensnetzwerk trennen konnte. Diese Art der Richtlinien ermöglichen es einem IT-Sicherheitsanbieter, je nach Schwere des Falls, auch zeitnah und ohne vorherige Genehmigung eine bestimmte Anzahl an reaktiven Maßnahmen zu ergreifen. Durch das zügige Abkoppeln des Rechners konnte letztlich verhindert werden, dass der Schädling auch weitere Rechner im Unternehmensnetzwerk infiziert.

Im nächsten Schritt nahmen die IT-Spezialisten von Open Systems den Angriff genauestens unter die Lupe, um aufzuklären, wie es überhaupt dazu kommen konnte. Sie fanden heraus, dass das schadhafte Skript zunächst einmal Unternehmensinformationen, wie die IP-Adresse, den Rechnernamen sowie die Zugangsdaten des Mitarbeiters, ausspähen sollte, um daraufhin eine Malware vom Google Apps Script-Dienst herunterzuladen und den eigentlichen Angriff zu starten – eine Ransomware-Attacke. Das funktionierte jedoch nicht, da die erforderliche Datei glücklicherweise nicht vorhanden war.

Open Systems wies den Administrator an, die Anmeldedaten des Mitarbeiters zurückzusetzen und die kompromittierte Festplatte vollständig zu löschen. Auf diese Weise kann ein angegriffenes Unternehmen sichergehen, dass die Bedrohung auch tatsächlich beseitigt ist. Der Rechner kann im Anschluss neu aufgesetzt werden.

Die Ursache

Die IT-Spezialisten konnten die Ursache für den Angriff schnell ausfindig machen: eine Phishingmail. Der unwissende Mitarbeiter öffnete einen schädlichen Link in einer E-Mail, der auf den ersten Blick nicht als solcher zu erkennen war.

Der Absender der E-Mail gab vor, dem Bundeszollamt anzugehören und behauptete, an der Grenze stünde ein Paket für den Mitarbeiter bereit. Um die Angelegenheit zu klären, wurde dieser aufgefordert, auf den Link zu klicken. Fast zeitgleich mit der E-Mail erhielt der Angestellte auch einen Anruf von jenem „Zollbeamten“, der ihn über die E-Mail informierte und ihn erneut aufforderte, den Link zu öffnen.

Da der Angestellte zu diesem Zeitpunkt tatsächlich ein Paket aus dem Ausland erwartete, schöpfte er keinen Verdacht und befolgte die Anweisungen des Anrufers. Ob die Angreifer von dem erwarteten Paket wussten oder ob es sich dabei um einen unglücklichen Zufall handelte, ist dabei unklar.

Die Methode ist nicht neu und war zu diesem Zeitpunkt sowohl Open Systems als auch der Zollbehörde bereits bekannt, die gar auf ihrer Website davor warnte. Dass die E-Mail nicht bereits im Vorfeld vom Microsoft 365-Phishing-Schutz abgefangen wurde, ist womöglich der Tatsache geschuldet, dass das Unternehmen nicht den erweiterten Schutz des Programms nutzte. Dieser hätte die E-Mail sehr wahrscheinlich bereits im Vorfeld herausgefiltert.

Zusammenarbeit ist der Schlüssel

Nun sind Phishingmails, Telefonanrufe, schadhafte PowerShell-Skripte und Malware allesamt keine neuen Angriffsmethoden und für Kriminelle noch dazu verhältnismäßig leicht umzusetzen. Diese Art von Angriffen abzuwenden, gehört für die meisten IT-Spezialisten zur Routine. Es stellt sich also die Frage, ob das angegriffene Unternehmen nicht besser daran täte, sein eigenes SOC mit der Erkennung und Abwehr solcher Angriffe zu beauftragen. Das Unternehmen könnte schließlich auch eigene IT-Fachkräfte einstellen.

Doch weit gefehlt: Denn IT-Sicherheitsmaßnahmen auf interner Ebene zu regeln ist für die meisten Unternehmen alles anderes als kosteneffizient. Schließlich muss ein SOC rund um die Uhr besetzt und einsatzbereit sein, um wie im beschriebenen Fall auch schnell reagieren zu können. Angesichts des akuten Fachkräftemangels im Bereich der IT-Sicherheit könnte der Auf- oder Ausbau eines SOC ein durchaus kostspieliges Unterfangen werden. Nicht zu vergessen, die Kosten für die notwenigen Sicherheitstechnologien. In den meisten Fällen ist es für Unternehmen deutlich effizienter und kostenschonender, mit einem externen Sicherheitsanbieter zusammenzuarbeiten, der sowohl über die benötigten Fachkräfte als auch die richtigen Tools wie MDR und EDR verfügt.

Autor: Jason Bloomberg, President, Intellyx

OS_Logo_Primary_BlackGreen

Copyright © Intellyx LLC. Open Systems is an Intellyx customer, and Microsoft is a former Intellyx customer. Intellyx retains editorial control of this article.

 

Teaserfoto: © Adobe Stock/arrow