Ryuk-Angriff auf französischen IT-Dienstleister – Einfallstor Zerologon-Lücke?

Die französische IT-Firma Sopra Steria ist Opfer eines Ryuk-Ransomware-Angriffs geworden. Ein Domänencontroller könnte Opfer der Zerologon-Schwachstelle sein.

In Pocket speichern vorlesen Druckansicht 12 Kommentare lesen

(Bild: antb/Shutterstock.com)

Lesezeit: 4 Min.
Von
  • Günter Born
Inhaltsverzeichnis

Am Dienstag kam es zu einem erfolgreichen Ransomware-Angriff auf die in Paris stehenden Windows-Server des französischen IT-Dienstleisters Sopra Steria, über die dessen IT-Netzwerk infiziert wurde. Das Unternehmen bestätigt in einer äußerst knappen Meldung lediglich einen Cyber-Angriff auf das IT-Netzwerk.

Die IT habe Sicherheitsmaßnahmen ergriffen, um die Risiken einzudämmen, und arbeite daran, zur Normalität zurückzukehren, um die Geschäftskontinuität zu gewährleisten, heißt es in der Mitteilung. Und weiter: Sopra Steria stehe in engem Kontakt mit ihren Kunden und Partnern sowie mit den zuständigen Behörden.

Allerdings machte das Unternehmen auf Anfragen keine Angaben zu Art und Details des Cyber-Angriffs. Das französische Medium LeMagIT berichtete am Mittwoch mit Verweis auf eigene Quellen, dass die Active Directory-Domänencontroller der Firma angegriffen und Datenträger im Netzwerk mittels der Ryuk-Ransomware teilweise verschlüsselt wurden. Der Umfang der Verschlüsselung und die Frage, ob vorher auch Daten abgezogen wurden, ist bisher unbekannt.

Der französische IT-Dienstleister Sopra Steria SA sieht sich als führender europäischer Management- und Technologieberater und ist mit 46.000 Beschäftigten in 25 Ländern, u.a. in Deutschland, aktiv. Er erzielte 2019 einen Umsatz von 4,4 Milliarden Euro. Sopra Steria ist also ein Schwergewicht in der Branche und wirbt damit, bei seinen Kunden die digitale Transformation voranzutreiben. The Register schreibt, dass das britische Gesundheitsministerium (NHS Business Services) im Rahmen von Outsourcing die Hälfte seiner IT von Sopra Steria betreiben lasse. Der Anbieter wirbt auch mit seinem Cyber-Sicherheits-Geschäftsbereich um Aufträge und ist eines der Gründungsmitglieder des französischen Cyber Campus.

In einem weiteren Beitrag vom 23. Oktober legt LeMagIT Details nach und zitiert aus einem Schreiben an Kunden des kompromitierten IT-Dienstleisters. Die Angreifer verwendeten Cobalt Strike für den Angriff auf die Firmen-IT, eine Software mit flexiblen Funktionen, um Wirtschaftsspionage auf dem eigenen Netzwerk zu simulieren, Abwehrmaßnahmen zu testen und die eigene Computersicherheit zu erhöhen.

So wurden PSexec und Cobalt Strike nach dem Eindringen in den Active Directory-Domänencontroller für eine laterale Bewegung der Schadsoftware im Netzwerk benutzt. Unter Verwendung von Windows-Freigaben (Shares) auf Domänencontrollern gelang es der Schadsoftware, die Liste der IP-Adressen zu speichern, auf die die Ransomware abzielt. Im Artikel ist die Rede davon, dass die Angriffe bereits vor dem 20. Oktober stattfanden, und die Verschlüsselung der Datenträger im Netzwerk dann am selben Abend "blitzschnell" erfolgte.

LeMagIT zitiert außerdem aus einer E-Mail, die Alain Bouillé, Generaldelegierter des Clubs 'Experts in Information and Digital Security' (Cesin) an Mitglieder verschickte. Darin findet sich die Information, dass die Infektion mit der Ryuk-Ransomware bei Sopra Steria über einen mittels der Schwachstelle CVE-2020-1472 (Zerologon) kompromittierten AD-Controller erfolgt sei. Die Mitglieder des Clubs wurden aufgefordert, so schnell als möglich diese Schwachstelle zu schließen.

Die als kritisch eingestufte Zerologon-Schwachstelle ist seit August 2020 bekannt, als Microsoft entsprechende Sicherheitshinweise und -Updates veröffentlichte. Seit September 2020 sind Exploits bekannt und es gab zahlreiche Warnungen von Sicherheitsorganisationen, die Schwachstelle umgehend zu schließen. Zur selben Zeit veröffentlichte die US Cybersecurity and Infrastructure Security Agency (CISA) eine Notfall-Richtlinie und gab US-Behörden ganze vier Tage zum Schließen der Schwachstelle Zeit.

Mitte Oktober dann warnten CISA und FBI, dass Cyber-Kriminelle Sicherheitslücken in FortiOS und MobileIron Core & Connector mit einem Exploit für die Zerologon-Schwachstelle zu einer Exploit-Chain verwoben hätten, um US-Regierungsnetzwerke anzugreifen. Sollten die berichteten Sachverhalte zutreffen, wäre bei Sopra Steria in Paris wenigstens ein Active Directory Domänencontroller nicht abgesichert gewesen und konnte so kompromittiert und übernommen werden.

(tiw)