Erpresser machen auch vor Charity nicht Halt
Branche: Non-Profit-Organisation / Mitarbeitende: +100
Der IT-Mitarbeiter einer Non-Profit-Organisation bemerkt es gleich am Morgen, als er seinen Computer hochfährt: Irgendetwas stimmt nicht. Er kann sich auf verschiedenen Systemen nicht anmelden, und die ersten Tickets von Mitarbeitenden aus Büro und Homeoffice trudeln ein: Niemand kann mit der Arbeit beginnen, das Netzwerk ist komplett lahmgelegt.
Zunächst versucht es der IT-Mitarbeiter auf eigene Faust. Ein Fehler.
Gemeinsam mit der Geschäftsführung macht sich der IT-Mitarbeiter auf die Suche nach der Fehlerquelle, startet Analysen, und findet überall Erpresserbriefe auf einem der Hauptserver. Nach einer erfolglosen Suche nach Möglichkeiten, den Schaden selbst zu beheben, entscheidet sich die Geschäftsführung, Hilfe zu holen. Als wir über die 24/7-Notfallnummer kontaktiert werden, sind bereits 70 % der Serverinfrastruktur verschlüsselt und unbrauchbar.
Wir stellen innerhalb einer halben Stunde ein Team für das technische Onboarding zusammen. Im Anschluss beginnt die Suche nach dem Eindringling aus unserem Labor heraus. Um schnellstmöglich agieren zu können und die weitere Ausbreitung des Angriffs einzudämmen, rollen wir ein spezielles Analyse-Tool in der gesamten IT-Umgebung des Unternehmens aus. Dadurch können unsere Forensikerinnen und Forensiker mehrere Server gleichzeitig durchleuchten.
Das Unternehmen nutzt eine Software mit einer fatalen Sicherheitslücke.
Während wir mit Hochdruck alle Systeme aus der Ferne analysieren, prüft einer unser IT-Forensiker parallel die meist genutzten Sicherheitslücken, die aktuell durch Verbrechergruppen ausgenutzt werden. Das Ergebnis gibt uns den alles entscheidenden Hinweis.
Schnell wurde uns klar: Es ging um eine Zero-Day-Sicherheitslücke bei Confluence. Die Software wurde von dem Unternehmen als Intranet genutzt. Es gab zu der Zeit noch kein verfügbares Update. Die IT hatte daher keine Chance, einen solchen Angriff abzuwehren.
Rames Razaqi, IT-Forensiker
Wie ist der Fall ausgegangen?
Unser Team arbeitet die Nacht durch und identifiziert eine noch laufende Verbindung der Angreifer, die gerade sensible Daten exportieren. Durch schnelles Handeln können wir die Angreifer im richtigen Moment aussperren und so das Schlimmste verhindern, denn die Backups wurden nicht verschlüsselt. Bis zum Morgen ist der Schaden klassifiziert, die Tragweite bewertet und die Wiederherstellung der Systeme kann beginnen.
Da es zu einem Datenabfluss gekommen ist, unterstützen wir das Unternehmen mit unserem Datenschutz-Team bei der Meldung bei den Behörden, allen datenschutzrechtlichen Fragestellungen und dem Verfassen von Stellungnamen. Durch die hervorragende Zusammenarbeit mit unserem Kunden und unsere schnelle Analyse hielt sich der Schaden in Grenzen. Von der Erpesserbande hat das Unternehmen trotz der Verschlüsselung nie wieder gehört.
Ein Fall mit extremem Nervenkitzel, denn Geschwindigkeit trägt oft zu unserem Erfolg bei. Wir gehen davon aus, dass unser IT-Forensik-Team den entscheidenden Datenraub verhindern konnte und die Erpressung dadurch sinnlos wurde.
Thorsten Logemann, Vorstand intersoft consulting
Weitere spannende Beiträge
-
- Cybercrime Storys
Verhandlung mit einer Ransomware-Gruppe: Lösegeld & Bitcoin-Beschaffung
Zum BeitragEin regionales Netzwerk auf dem Medizinbereich wurde Opfer einer professionellen Ransomware-Attacke. Nach vollständiger Verschlüsselung der IT-Infrastruktur war schnelles Handeln gefragt. Die Verhandlung mit den Angreifern, die komplexe und zeitkritische Bitcoin-Beschaffung und die technische Wiederherstellung forderten das volle Spektrum forensischer und strategischer Kompetenz.
-
- Cybercrime Storys
Ein Ransomware-Angriff, der global 30 Standorte einer Reederei zu Fall bringen kann.
Zum BeitragAls eine international agierende Reederei Opfer eines raffinierten Angriffs wird, steht für die über 30 Standorte alles auf dem Spiel. Die ersten Niederlassungen sind bereits verschlüsselt, die Bedrohung breitet sich rasant von Asien bis nach Deutschland aus – und die Zeit läuft. Doch ein deutscher IT-Leiter handelt schnell und schaltet unser IT-Forensik-Team ein. Gerade noch rechtzeitig?
-
- Cybercrime Storys
„Hier spricht das LKA. Ihr Kunde wird angegriffen.“
Zum BeitragEin dringender Hinweis des Landeskriminalamts bringt uns in höchste Alarmbereitschaft: Ein schwerer Angriff auf einen Kunden eines IT-Dienstleisters steht unmittelbar bevor. Mit nur wenigen Hinweisen entdecken wir eine fatale Sicherheitslücke, die den Angreifern Tür und Tor öffnet. Doch dann passiert etwas, das uns den Atem stocken lässt...
Wir stehen Ihnen mit unserer Erfahrung zur Seite.
Sie wünschen sich eine persönliche Beratung? Melden Sie sich gern per ausgefülltem Formular oder Anruf bei uns.
Joanna Lang-Recht
Head of IT Forensics
24/7 IT-Notfallhilfe
0180 622 124 6
20 Ct./Anruf aus dem Festnetz, Mobilfunk max. 60 Ct./Anruf
Direkt Kontakt aufnehmen
it-forensik@intersoft-consulting.de
