Das Verschlüsseln wichtiger Firmendaten und die anschließende Erpressung von Lösegeld für die Entschlüsselung gehört zu den häufigsten Cyber-Angriffen. Dafür arbeiten sich die Kriminellen oft durch mehrere Schwachstellen bis zu den kritischen Systemen vor. Das folgende Fallbeispiel zeigt, wie dies in der Praxis aussehen kann.
Für erfolgreiche Ransomware-Angriffe anfällig sind keineswegs nur kleinere Firmen mit einer schlecht gewarteten IT.
Im konkreten Fall traf es ein Großunternehmen, das sehr wohl eine Strategie für IT-Security verfolgt und dafür auch einen eigenen CISO beschäftigt.
RDP-Server als beliebtes Ziel von Angriffen
Ein wunder Punkt sind in Zeiten von Home-Office und Remote-Arbeiten häufig RDS-Server, die sich direkt über das Internet erreichen lassen.
In diesem Beispiel gelang es dem Angreifer, über einen Brute-Force-Angriff an ein Passwort zu kommen und sich anschließend seitwärts durch das Netzwerk zu bewegen ("lateral movement").
Auf dem Weg zu einer kritischen Datenbank für eine Produktionsanlage war es dem Hacker möglich, die beiden im Unternehmen eingesetzten Antivirenlösungen zu deaktivieren, um die von ihm benötigten Tools zu verbergen.
Spannend in diesem Zusammenhang ist auch die Rolle von Diensten wie Dropbox, die Cyberkriminelle zum Absaugen großer Datenmengen einsetzen.
Password-Spraying gegen das AD
Während es beim Eindringen über den RDS-Server darum ging, das Passwort eines möglichst privilegierten Benutzers mit Hilfe eines Wörterbuchs oder einer Liste mit kompromittierten Kennwörtern zu knacken, verfolgte der Angreifer intern eine andere Strategie.
Da er Zugriff auf das Active Directory und somit auf die Namen aller Accounts hatte, probierte er häufig verwendete (triviale) Passwörter quer über alle Benutzer aus. Dieses Vorgehen ist als Password Spraying bekannt.
Kennwörter als Achillesferse
Wie man aus der bisherigen Schilderung erkennen kann, schützte die vorhandene Sicherheitsinfrastruktur das Unternehmen nicht.
Neben anderen ungünstigen Konstellationen wie ein exponierter Terminal-Server und ein nicht ausreichend segmentiertes Netzwerk erwiesen sich vor allem Passwörter als das schwächste Glied in der Kette.
IT-Verantwortliche sollten daher in jedem Fall regelmäßig prüfen, ob alle Benutzer starke Passwörter verwenden.
Bei dieser Aufgabe hilft der kostenlose Specops Password Auditor, der Hashes nach allen möglichen Kriterien untersucht und sie zusätzlich mit einer langen Liste kompromittierter Kennwörter vergleicht.
Schwache Passwörter verhindern
Die Diagnose des Ist-Zustands kann aber nur ein erster Schritt sein. Entscheidend sind Maßnahmen, um den Einsatz leicht zu erratender Passwörter zu verhindern.
Specops Software bietet dafür ein Tool namens Password Policy an. Es erweitert die Passwortrichtlinien des Active Directory, so dass Admins triviale und unerwünschte Kennwörter über diverse Regeln ausschließen zu können.
Wenn Benutzer ihre Passwörter wechseln (müssen), kann Password Policy diese anhand einer Liste mit Milliarden kompromittierter Kennwörter prüfen. Die Bedeutung dieses Features erschließt sich aus dem obigen Fallbeispiel für einen erfolgreichen Brute-Force-Angriff.
Specops Software stellt eine kostenlose 30-Tage-Demo von Password Policy auf seiner Website zur Verfügung.
Detaillierte Analyse des Angriffs
Eine Aufzeichnung des Webinars, in dem der Sicherheitsexperte Dr. Siegfried Rasthofer den erfolgreichen Angriff auf das deutsche Großunternehmen im Detail erklärt, können Sie im folgenden Video ansehen.
*Dies ist ein bezahlter Beitrag von Specops Software.