Ransomware-Angriffe: was können wir aus dem Kaseya-Vorfall lernen? | SoftwareONE Blog

Ransomware-Angriffe

Lehren aus dem Kaseya-Vorfall

Ransomware-Angriffe: was können wir aus dem Kaseya-Vorfall lernen?

Einblicke in die Security Operations mit Sophos

Die Quantität und Qualität der Angriffe ist in den letzten Jahren sehr gestiegen. Die Angriffsfläche ist ebenso gestiegen durch die verstärkte Verbreitung von Homeoffice, die Vielzahl an Geräten (Devices) und die steigende Vielfalt an Applikationen zur Collaboration. Diese Komplexität erleichtert es Angreifern immer wieder neue Lücken zu finden.

Wiederum macht es die Arbeit der Sicherheitsverantwortlichen in Unternehmen schwerer – die Themen- und Funktionsvielfalt verlangt eine größere Expertise der Security-Experten und mehr personelle und finanzielle Ressourcen in den IT-Abteilungen.

Wie lief der Angriff auf Kaseya ab?

Die Angreifer nutzten ein manipuliertes Update für Kaseya VSA On-Prem-Server, um die Opfer mit Ransomware zu attackieren. Die angreifende Gruppe REvil ist auch für Advanced Persistent Threats (APT) bekannt, was fortgeschrittene Angriffstechniken beinhaltet, bei denen auch eine teilweise Löschung des angewandten Tool-Sets (sofern sie zeitnah erkannt werden) nichts mehr gegen den Angriff ausrichten kann.

Bereits mit dem manipulierten Update löschte das Tool lokale Antivirenprogramme und verschlüsselte lokale Dateien über nachgeahmte Windows Defender-Apps. Der Angriff verlief automatisiert und extrem schnell auf fast 2.000 Unternehmen. Der Angriff kam kurz vor dem Juli-Wochenende des amerikanischen Nationalfeiertags. Weitreichende Teile des Netzwerkes wurden verschlüsselt und dienten der Erpressung. Es wurde ein unbewachter Ordner erstellt, in dem der Verschlüsselungscode ausgeführt werden konnte.

Ransomware-Angriffe: was können wir aus dem Kaseya-Vorfall lernen? | SoftwareONE Blog
Cyberangriff

Ein Ignorieren der Zeitspanne führt zu einer Verdopplung der geforderten Summe. Die Verschlüsselung erfolgt in der Qualität eines „Military Grade“, d.h. eine Entschlüsselung ohne Key ist nicht möglich. Mit einer entsprechenden Sicherheitssoftware lassen sich Memory-Allokationen als ungewöhnlich erkennen, selbst wenn es nach einem vermeintlich bekannten Defender-Prozess ausschaut.

Wie agiert Sophos?

Es wird seitens Sophos eine Prüfung durchgeführt, ob der Kunde betroffen ist. Für Neukunden bietet Sophos ein Rapid Response Team (keine proaktive Verteidigung), während ein MTR-Kunde proaktiv konfiguriert wird, um den Angriff zu stoppen (Rapid Incident Response). Kunden werden über Patches informiert und es gibt Risikoeinstufungen für die Kunden, die eine Priorisierung ermöglichen.

Verdächtige Aktivitäten werden untersucht (Einloggen mit falschem PW, neue Prozesse lassen sich starten, neue Scheduled Tasks, Reg Keys lassen sich ändern, Browser Extensions werden geändert usw.).

Erfahrene Analysten führen Threat Hunting and Response durch, führen gezielte Aktionen zur Neutralisierung von Bedrohungen durch und sorgen für vollständige Transparenz und Kontrolle.

Ransomware-Angriffe: was können wir aus dem Kaseya-Vorfall lernen? | SoftwareONE Blog
Sophos Sicherheitsreport zu einem geblockten Angriff

Es gibt drei Stufen der Interaktionsmöglichkeiten mit dem Sophos MTR-Team:

  • Notify: Sophos benachrichtigt den Kunden über die Detection und liefert die Details, um bei der Priorisierung und Reaktion zu unterstützen
  • Collaborate: Zusammenarbeit mit dem internen Team oder externen Ansprechpartnern, um auf die Detection zu reagieren
  • Authorize: Sophos kümmert sich um die Eindämmungs- und Neutralisierungsmaßnahmen und informiert den Kunden über die ergriffenen Maßnahmen

Sophos Syncronized Security

Ransomware-Angriffe: was können wir aus dem Kaseya-Vorfall lernen? | SoftwareONE Blog
Sophos Central Labs

Sophos Central fasst die Schutzwälle Sophos XG Firewall und den Geräteschutz Sophos Endpoint Intercept X auf einer Plattform zusammen. Dabei wird mit Rückgriffen auf Data Lake und unter Nutzung von AI von den Security-Analysten der Sophos Labs mit Analysen der Schutz vor Angriffen immer weiter ausgebaut und an neue Bedrohungen angepasst. Sicherheitshersteller entwickeln sich sukzessive zu Security-Plattform-Anbietern.

Weiteres Vorgehen:

1. Patch & Deploy

  • Exchange IIS/Server-Protokolle sichern und patchen
  • Das Patchen verhindert künftige Angriffe. Es stellt NICHT sicher, dass der Angreifer die Schwachstellen nicht bereits ausgenutzt hat.
  •   Es ist notwendig, dass Endpoint Protection auf allen Endpoints und Servern installiert ist.

2. Gefahr ermitteln

  • Intercept X mit EDR-Abfragen zur ersten Einschätzung der Gefahr starten.
  • Nach dem Angriff Analyse, Zeitrahmen und die Auswirkungen zur Einschätzung des erforderlichen Threat Huntings.

3. Unterstützung

  • Schnelle Reaktion: 45 Tage lang Incident Response Engagement
  • MTR Advanced: Langfristige Überwachung, Bedrohungsabwehr und Reaktion

Zusammenfassung

Es werden fortgeschrittene Taktiken für Angriffe genutzt – welche nicht mehr nur staatlichen Institutionen vorbehalten sind. Die Opfer werden nicht mehr gezielt ausgesucht, es werden Standard-Konfigurationen genutzt, die eine vorher unbekannte Zahl an Opfern haben könnten (Nation State APT). Den Angreifern sind Lücken in den Sicherheitstools und Konfigurationen bekannt. Selbst wenn keine Ransomware gesichtet wird, gibt es einen potenziellen Zugriff auf die Daten. Eine schnelle Reaktion ist essenziell.

Fast jeden zweiten Monat gibt es globale Attacken. Die neue Welle Proxyshell ist bereits im Anmarsch. Dabei werden Schwachstellen im Exchange Server genutzt. Ein unautorisierter Zugriff führt zu Post-Exploit-Aktivitäten und Ransomware-Angriffen.

Gehen Sie auf Nummer sicher

Wie lassen sich Ransomware-Angriffe verhindern? Wir zeigen, wie Sie sich und Ihr Unternehmen besser schützen können.

Kontaktieren Sie uns noch heute

Kommentieren Sie diesen Artikel

Hinterlassen Sie einen Kommentar, um uns mitzuteilen, was Sie von diesem Thema halten!

Kommentar hinterlassen

Autor

Rene Schoppe

Solution Sales Sophos

Verwandte Artikel

oracles-fiscal-year-ends-will-it-impact-you
  • 16 März 2023
  • SoftwareONE Redaktionsteam
  • Publisher Advisory
  • Oracle, Advisory, Software Spend, Strategy

Fiskaljahresende bei Oracle: Ist jetzt die Zeit für Deals?

Bei Oracle endet zum 31. Mai das Fiskaljahr. Wir erläutern, welche Vorteile sich Kunden bieten, aber auch was zu beachten ist.

Release Veeam V12 - Features & Funktionalitäten

Mit dem Release von V12 hat Veeam® eine Plattformstrategie eingeführt, um mit Funktionalitäten für Datensicherung, Monitoring, Orchestrierung bestmögliche Cyberresilienz zu bieten.

Was sich hinter MDR verbirgt!

Finden Sie heraus, wie Sie mit Managed Detection and Response die Cybersicherheit in Ihrem Unternehmen verbessern können.