Der MediaMarkt-Ransomware-Angriff

Titan Commerce Continental Services GmbH, 35440 Linden
2022-07-18 08:48:00
Der MediaMarkt-Ransomware-Angriff - Die Ransomware-Bedrohungslandschaft

Die Ransomware-Bedrohungslandschaft 

 Ransomware verwüstet nach der beispiellosen Anzahl von Angriffen im vergangenen Jahr auch 2022 weiterhin sowohl öffentliche als auch private Organisationen. Ransomware-Angriffe nehmen an Geschwindigkeit, Umfang und Komplexität zu, während die Lösegeldzahlen stark steigen. Die Fähigkeit, Ransomware-Angriffe effektiv zu erkennen, ist in der aktuellen Bedrohungslandschaft von größter Bedeutung. 

Während sich das erste Halbjahr dem Ende zuneigt, wurden laut einem Ransomware-Tracker auf The Record bis zum 10. Mai etwa 1.150 Ransomware-Angriffe gestartet . Dazu gehören eine Reihe hochkarätiger Ransomware-Angriffe. Nicht zuletzt der doppelte Ransomware-Angriff auf Costa Rica, der das Land in die Knie gezwungen hat. Der erste war ein Conti-Ransomware-Angriff auf fast 30 Regierungsinstitutionen, der am 17. April begann. Der zweite war ein Hive-Ransomware-Angriff auf den Sozialversicherungsfonds von Costa Rica am 30. Mai. Weitere prominente Opfer des Jahres 2022 sind Nvidia, Bridgestone und die Regierung von Bernalillo County, New Mexico. Wenn die Geschichte ein Hinweis ist, müssen sich Unternehmen auf eine weitere Explosion von Ransomware-Angriffen in der zweiten Jahreshälfte einstellen, wie es in den Jahren 2020 und 2021 der Fall war. Hier also ein paar Denkanstöße.  

Wie genau ist Ihr Unternehmen auf einen Ransomware-Angriff vorbereitet?  

Wie zuversichtlich sind Sie in die Sicherheitsmaßnahmen Ihres Unternehmens zur Erkennung von Ransomware? 

Die Größe einiger Ransomware-Opfer und vermutlich ihre gut ausgestatteten Cybersicherheitsoperationen legen nahe, dass das Erkennen von Ransomware keine einfache Aufgabe ist. Nehmen wir eines der größten Opfer eines Ransomware-Angriffs in der jüngeren Geschichte, MediaMarkt, und diskutieren wir die Herausforderungen der Ransomware-Erkennung und die Maßnahmen, die einen erfolgreichen Angriff hätten verhindern können. 

Der MediaMarkt-Ransomware-Angriff 

MediaMarkt mit Hauptsitz in Ingolstadt, Deutschland, ist Europas größter Einzelhändler für Unterhaltungselektronik mit über 1.000 Geschäften in 14 Ländern, rund 52.000 Mitarbeitern und einem Umsatz von 21,4 Milliarden Euro. Zusammen mit der Handelsmarke Saturn bildet MediaMarkt die MediaMarktSaturn-Gruppe, die zur Ceconomy AG gehört. 

WAS IST BEIM MEDIAMARKT-RANSOMWARE-ANGRIFF PASSIERT? 

Am 7. November 2021 wurde MediaMarkt Opfer eines Hive-Ransomware-Cyberangriffs, der Server und Workstations verschlüsselte und zunächst ein astronomisches Lösegeld von 240 Millionen US-Dollar forderte. 

Der Angriff erfolgte spät an einem Sonntag und dauerte bis zum nächsten Morgen an, wodurch die IT-Systeme im gesamten Unternehmen lahmgelegt wurden. Weitere Systeme wurden von Administratoren heruntergefahren, um die Ausbreitung der Infektion einzudämmen.  

Der Angriff betraf MediaMarkt- und Saturn-Märkte in Deutschland, Belgien und insbesondere in den Niederlanden. Obwohl die Geschäfte direkt nach dem Angriff geöffnet blieben, wurden die Mitarbeiter gebeten, keine Computer in den Geschäften zu verwenden und die Registrierkassen vom Netz zu nehmen. Infolgedessen konnten die Geschäfte keine Kartenzahlungen akzeptieren oder Quittungen ausstellen. Kunden konnten auch keine Geschenkgutscheine verwenden oder Rücksendungen vornehmen, da auf historische Kaufaufzeichnungen nicht zugegriffen werden konnte.  

Insgesamt 3.100 Server wurden angeblich verschlüsselt und laut dem niederländischen Nachrichtensender RTL erhielten kompromittierte Workstations eine Lösegeldforderung mit der Aufschrift „Ihr Netzwerk wurde gehackt und alle Daten verschlüsselt. Um wieder Zugriff auf alle Daten zu erhalten, müssen Sie unsere Entschlüsselungssoftware erwerben.“  

WELCHE AUSWIRKUNGEN HATTE DER MEDIAMARKT-ANGRIFF? 

Ob Daten gestohlen wurden, war zu diesem Zeitpunkt noch unklar. Ransomware-Gangs wie Hive praktizieren zunehmend doppelte Erpressungs-Ransomware, eine Taktik, die Daten nicht nur verschlüsselt, sondern auch aus dem Netzwerk exfiltriert. Angreifer halten die Daten effektiv als Geisel, indem sie damit drohen, sie preiszugeben oder zu verkaufen, wenn die Opfer nicht zahlen. Ebenfalls unklar war, ob MediaMarkt schließlich das Lösegeld bezahlte, das Berichten zufolge auf 50 Millionen US-Dollar heruntergehandelt wurde.  

Der kürzlich veröffentlichte Finanzbericht H1 2021/22 von Ceconomy, der Muttergesellschaft von MediaMarkt, gibt Aufschluss über diese Fragen. Dem Bericht zufolge wurden die betroffenen IT-Systeme innerhalb weniger Tage nach dem Angriff wiederhergestellt und der Geschäftsbetrieb normalisiert. Noch wichtiger ist, dass nur „entgangene Umsätze und Einnahmen“ erwähnt wurden, ohne dass eine Lösegeldzahlung in den Finanzkonten vermerkt war. Der Bericht stellt auch fest, dass es keine Hinweise darauf gab, dass Mitarbeiter- und Kundendaten gestohlen wurden, und dass bisher keine anderen Cyber-Angriffe stattgefunden haben. 

Aus dem neuesten Finanzbericht geht hervor, dass MediaMarkt den Ransomware-Angriff relativ unbeschadet überstanden hat, ohne eine riesige Lösegeldzahlung und Datendiebstahl erlitten zu haben. Wir können jedoch aus einem solchen Vorfall Lehren ziehen: zu erkennen, warum es so schwierig ist, Ransomware zu erkennen, und Maßnahmen zu ergreifen, um zu verhindern, dass solche Angriffe erfolgreich sind.  

Die Herausforderungen bei der Erkennung von Ransomware-Angriffen 

 DIE SICH ENTWICKELNDEN TTPS VON RANSOMWARE-GANGS 

Der Hive-Ransomware-Angriff auf MediaMarkt ist ein Beispiel für Ransomware-Banden, die bei ihren Angriffen Taktiken, Techniken und Verfahren (TTP) im APT-Stil anwenden. APTs oder Advanced Persistent Threats sind Angriffe, bei denen der Angreifer über einen längeren Zeitraum im Netzwerk des Opfers operiert und ausgeklügelte und schwer zu erkennende Techniken einsetzt, um seine Berechtigungen zu erhöhen, der Erkennung zu entgehen und sich seitlich durch das Netzwerk zu bewegen. Auf diese Weise können Angreifer auf wertvolle Vermögenswerte zugreifen, wie z. B. sensible Daten, Benutzer mit hohen Privilegien, kritische Systeme und Server, Datenbanken und Quellcodes, um die Belohnungen des Angriffs zu maximieren. Ransomware -Banden verwenden die gleichen fortschrittlichen Techniken, um eine doppelte Erpressung zu erreichen, dh die Verschlüsselung und Exfiltration von Daten.   

Kobaltschlagist einer der Hauptvermittler von Angriffen. Cobalt Strike wurde ursprünglich als Tool entwickelt, um gegnerische Angriffe in Red-Teaming-Übungen zu simulieren, wurde aber von Bedrohungsakteuren wie APT-Gruppen und jetzt Ransomware-Gangs bewaffnet. Cobalt Strike kann verwendet werden, um eine Vielzahl von Funktionen zu erreichen, einschließlich Keylogging, Befehlsausführung, Dumping von Anmeldeinformationen, Dateiübertragung, Port-Scanning und mehr. Das Erkennen und Blockieren von Cobalt Strike ist der Schlüssel, um zu verhindern, dass ein Angriff eskaliert. Dies ist jedoch leichter gesagt als getan. Herkömmliche Endpoint-Security-Tools wie Antivirus-Software verlassen sich auf signaturbasierte Erkennung, also die Erkennung von Malware anhand einer eindeutigen Kennung. Obwohl Cobalt Strike ein weit verbreitetes Werkzeug ist, können Gegner seine direkten Artefakte ändern, um der Erkennung zu entgehen, indem sie eingebettete Funktionen wie Artifact Kit und Malleable C2 verwenden.  

Legitime Windows-Systemtools und -funktionen wie PsExec, BITSadmin, Windows Management Instrumentation (WMI) und Remote Desktop Protocol (RDP) werden ebenfalls genutzt, um sich seitlich durch das Netzwerk zu bewegen. Da diese in Windows-Systemen nativ sind, werden sie im Allgemeinen nicht von Endpoint Security-Schutzmaßnahmen erfasst.  

TrojanSpy.DATASPY wird auf den Endpunkt geladen, um nach laufenden Prozessen zu suchen, einschließlich Antiviren- und Endpunktschutzsoftware. Tools wie PCHunter, GMER und KillAV werden anschließend eingesetzt, um AV-bezogene Prozesse zu beenden und den AV-Schutz zu deaktivieren, was den Angreifern mehr Freiheit bei der Inszenierung des Angriffs gibt. 

Was bedeutet das für die Cyberabwehr?  

Erkennen Sie Ransomware mithilfe von Network Detection and Response 

Also zurück zur Millionen-Dollar-Frage: Wie erkennen Unternehmen Ransomware, wenn sie mit solch komplexen und heimlichen Tools und Techniken konfrontiert werden? Was benötigt wird, ist eine Technologie, die Sicherheitsteams eine beispiellose Transparenz bietet und das Nicht-Erkennbare erkennt. 

Genau das bietet Network Detection and Response.  

NICHT SIGNATURBASIERTE RANSOMWARE-ERKENNUNG MIT NDR 

Im Gegensatz zu herkömmlichen Sicherheitstools stützt sich Network Detection and Response (NDR) nicht einfach auf eine signaturbasierte Erkennung. Mithilfe fortschrittlicher Technologien wie maschinellem Lernen, KI und Verhaltensanalysen analysiert NDR den gesamten Netzwerkverkehr in Echtzeit, um Abweichungen von den Grundlinien der normalen Netzwerkaktivität zu erkennen. Die Idee ist, dass anomale Aktivitäten ein guter Indikator für böswilliges Verhalten sind, da Angreifer auf eine Weise agieren, die nicht mit regulären Verhaltensmustern übereinstimmt.  

NDR kennzeichnet jedoch anomale Aktivitäten nicht isoliert. Dies würde zu einer unüberschaubaren Menge an Warnungen und Fehlalarmen führen. Stattdessen korreliert NDR den Netzwerkverkehr von überall und innerhalb und außerhalb des Netzwerks, um Kontext zu anomalen Ereignissen hinzuzufügen. Ein scheinbar harmloses Ereignis auf einem Endpunkt erweckt möglicherweise keinen Verdacht, aber wenn es mit Netzwerkverkehr und Aktivitäten auf anderen Endpunkten korreliert, kann NDR eine Kette verdächtiger Aktivitäten aufdecken.  

ERKENNUNG VON COBALT STRIKE LATERAL MOVEMENT MIT NDR 

Um diesen Punkt zu veranschaulichen, verwenden wir die Erkennung einer seitlichen Bewegung am Beispiel von Cobalt Strike.  

Die Analyse der lateralen Bewegung mit Cobalt Strike zeigt, dass dieser Prozess typischerweise beinhaltet, dass das kompromittierte Gerät einen Remote-Dienst erstellt und startet, um bösartigen Code auf einem anderen Netzwerkgerät auszuführen. Sobald der Dienst erfolgreich erstellt wurde, sendet er häufig an den Cobalt Strike Team-Server, dh er kommuniziert mit dem Befehls- und Kontrollserver (C2) des Angreifers. 

Mit diesem Wissen kann NDR modelliert werden, um die Angriffskette zu erkennen, dh ein Gerät erstellt einen Remote-Dienst auf einem zweiten Gerät, dem schnell eine Kommunikation mit einer unbekannten Domäne auf dem zweiten Gerät folgt. Durch die Erstellung von Baselines für Aktivitäten über Netzwerkgeräte hinweg erkennt NDR böswilliges Verhalten, das sich nicht in scheinbar harmlosen Ereignissen zeigt, die isoliert betrachtet werden. Dies ist der Schlüssel zur Erkennung von Ransomware, bevor ernsthafter Schaden entsteht . 

EIN MEHRSCHICHTIGER SICHERHEITSANSATZ   

Verhaltens- und anomaliebasierte Schutztechnologien wie NDR werden nicht isoliert von signaturbasierten Schutzmaßnahmen verwendet. Tatsächlich bieten signaturbasierte Schutzmaßnahmen eine robuste erste Verteidigungslinie, die die meisten Bedrohungen herausfiltert. Ohne sie werden Netzwerke von links, rechts und in der Mitte mit Bedrohungen überrannt. NDR kann in Verbindung mit Netzwerk-Firewalls, Antivirenprogrammen und anderen Sicherheitstools bereitgestellt werden, um Organisationen einen mehrschichtigen, ganzheitlichen Schutz vor Ransomware, APTs und anderen Bedrohungen zu bieten .  

Hier geht es zu den ForeNova Lösungen in unserem IPNetShop.


News
kein Bild
ab *
/
kein Bild
Artnr:
HAN:
EAN:
Sonderpreis
Topartikel
Bestseller
lagernd
Preis: ab *
/