IT-Sicherheitsunternehmen Dragos wehrt Cyber-Erpresser ab

Am Montag dieser Woche konnten Cyberkriminelle Zugriff auf Konten der IT-Sicherheitsfirma Dragos, die sich auf industrielle Cyber-Sicherheit spezialisiert hat, erlangen. Dabei seien jedoch keine Dragos-Systeme geknackt worden, und auch nichts, was mit der Dragos-Plattform in Verbindung stünde. Das Unternehmen hat jetzt einen Bericht über den Vorfall veröffentlicht.

In der Analyse schreibt Dragos, dass die Cybergang am 8. Mai Zugriff durch die persönliche E-Mail-Adresse eines neuen Sales-Angestellten vor dessen Arbeitsbeginn erlangen konnte. Daraufhin gaben die Angreifer sich als dieser Angestellte aus und durchliefen die ersten Schritte des Onboarding-Prozesses für Neuangestellte. Die Gruppe griff auf Ressourcen zu, die ein neuer Vertriebsmitarbeiter normalerweise in Sharepoint und im Dragos-Vertragsverwaltungssystem verwendet.

Cyber-Einbruch: Systeme schlugen Alarm

Dragos-ITler untersuchten Warnmeldungen im unternehmenseigenen Security Information & Event Management (SIEM) und sperrten das kompromittierte Konto. "Wir beauftragten unseren Drittanbieter für Netzwerk-Überwachung, Erkennung und Reaktion (Monitoring, Detection & Response, MDR) mit dem Einleiten der Maßnahmen zur Reaktion auf Vorfälle". Dragos sei zuversichtlich, dass die mehrschichtigen Sicherheitskontrollen den bösartigen Akteur daran gehindert haben, sein vermutlich primäres Ziel zu erreichen, nämlich die Verbreitung von Ransomware. "Sie wurden auch daran gehindert, sich lateral im Netzwerk zu bewegen, ihre Rechte auszuweiten, sich dauerhaften Zugang zu verschaffen oder Änderungen an der Infrastruktur vorzunehmen", ergänzt Dragos.

Dragos zeigt einzelne Schritte des Cyber-Vorfalls in einer Timeline-Grafik. Darin ist zu erkennen, dass den Angreifern vielerlei Zugriffe misslangen. Die Cybergang installiert üblicherweise Ransomware. Nachdem es ihr nicht gelungen war, die Kontrolle über ein Dragos-System zu erlangen und Schadsoftware zu installieren, änderte sie ihre Vorgehensweise. Sie versuchte, Dragos zu erpressen, um eine öffentliche Bekanntgabe des Cyber-Einbruchs zu vermeiden.

Im weiteren Verlauf gingen die Angreifer dazu über, Familienmitglieder und Kontakte der Angestellten in ihren Erpresser-Nachrichten zu referenzieren. Dragos entschied sich, nicht auf die Drohungen einzugehen. Die Angreifer versendeten daraufhin Nachrichten an einen erweiterten Kreis von Empfängern.

Die Texte der Cyberkriminellen wiesen auf Recherchen zu familiären Details der Empfänger. Sie kannten die Namen von Familienmitgliedern der Dragos-Führungskräfte – auch für solche Maschen seien die Cybergangs bekannt. Allerdings referenzierten die Nachrichten fiktive E-Mail-Adressen für diese Familienmitglieder und keine echten.

Veröffentlichung der Details als Vorbild

Der externe IT-Sicherheitsdienstleister und die Analysten von Dragos glauben, den Vorfall eingedämmt zu haben. Die Untersuchungen dauerten jedoch noch an. "Die Daten, die verloren gegangen sind und wahrscheinlich veröffentlicht werden, weil wir uns entschieden haben, das Lösegeld nicht zu bezahlen, sind bedauerlich. Wir hoffen jedoch, dass das Aufzeigen der Methoden der Angreifer dazu beiträgt, dass andere Unternehmen zusätzliche Schutzmaßnahmen gegen diese Methoden in Betracht ziehen, damit sie nicht Opfer ähnlicher Versuche werden", erklärt Dragos.

Das Unternehmen möchte mit den bereitgestellten Informationen Bildungsmaterial liefern. Das soll auch bei der Entstigmatisierung von Sicherheitsvorfällen helfen. Eine Empfehlungsliste schließt die Analyse ab. Demnach sollen Organisationen

• die Identitäts- und Zugriffsverwaltungsinfrastruktur und zugehörige Prozesse härten,
• die Trennung von Pflichten und Rechten über das Unternehmen umsetzen,
• das Prinzip der niedrigstmöglichen Berechtigungen für alle Systeme und Dienste anwenden,
• wo immer möglich Multi-Faktor-Authentifizierung implementieren,
• explizite Blockade von bekannt bösartig genutzten IP-Adressen umsetzen,
• eingehende E-Mails auf typische Anzeichen von Phishing untersuchen, einschließlich der Mail-Adressen, URLs und Rechtschreibung,
• sicherstellen, dass durchgehende Sicherheitsüberwachung im Einsatz ist, mit getesteten Ablaufplänen für Cyber-Vorfälle.

(dmk)