„Hier spricht das LKA. Ihr Kunde wird angegriffen.“
Branche: Chemiesektor / Mitarbeitende: +250
Der Hinweis an den IT-Dienstleister kommt direkt vom Landeskriminalamt. Die Beamten des LKA hatten aufgrund auffälliger Aktivitäten festgestellt, dass ein Kunde des Dienstleisters kurz davor steht, im großen Stil angegriffen und verschlüsselt zu werden. Die eindringliche Empfehlung ist deutlich: „Ihr müsst jetzt sofort handeln.“
Wir werden eingeschaltet: Buchstäblich in der richtigen Minute.
Der erste Anruf auf unserer 24/7-Notfallnummer mündet direkt in eine Telefonkonferenz mit dem IT-Dienstleister und der internen IT des Kunden. Mehr als den Hinweis des LKA bekommen wir nicht als Anhaltspunkt – eine schwierige Ausgangslage bei über 300 Servern. Dafür läuft die Zusammenarbeit mit dem Dienstleister und der internen IT von Anfang an optimal – eine sehr gute Voraussetzung für unsere Arbeit. Innerhalb kürzester Zeit ist unser Team vor Ort und beginnt, alle Systeme zu scannen.
Da der Angriff möglicherweise kurz bevor steht, arbeiten wir unter Hochdruck, bis wir tatsächlich auf eine fatale Sicherheitslücke stoßen: einen eigentlich inaktiven VPN-Admin- Account, der früher für Wartungen Zugriff auf die internen Systeme hatte. Über diesen Zugang können die Angreifer über die Active Directory Datenbank alle Anmeldeinformationen des Unternehmens einsehen und sich im gesamten Netzwerk ausbreiten. Schlimmer geht es eigentlich nicht.
Dann geschieht etwas, das allen den Atem raubt.
Plötzlich bemerkt unser Team, dass der Domain-Admin, den eigentlich nur der IT-Dienstleister verwenden kann, sich im Netzwerk mit einem System verbindet. Wir verbinden uns ebenfalls auf dieses System und können in Echtzeit beobachten, wie die Eindringlinge die Ransomware ablegen.
In der IT-Forensik ist es beinahe undenkbar, so etwas zu erleben. Normalerweise werden wir erst gerufen, wenn der Schaden bereits angerichtet ist. Doch diesmal waren wir live dabei, als die Angreifer die Schadsoftware ablegten – und konnten sofort eingreifen.
Joanna Lang-Recht, Director IT Forensics
Wie ist der Fall ausgegangen?
Unsere Analyse zeigt, wie präzise der Angriff vorbereitet war: Durch den Zugriff auf den Alt-Account hatten die Täter die gesamte Active Directory-Datenbank als Informationsquelle und hätten jedes System in der Umgebung verschlüsseln können. Der Schaden und der Aufwand für den Wiederaufbau wären enorm gewesen. Wäre das LKA nicht darauf aufmerksam geworden und der IT-Dienstleister nicht so schnell eingeschritten, hätten die Angreifer wahrscheinlich Erfolg gehabt.
Dank kurzer Entscheidungswege und unserem rechtzeitigen Eingreifen konnte der Angriff unterbrochen und der Wiederaufbau auf wenige kompromittierte Server, die von den Angreifern benutzt wurden, begrenzt werden. Das Unternehmen nahm nach kurzer Ausfallzeit den Betrieb wieder auf – ohne dass die Mitarbeitenden jemals erfahren haben, wie ernst die Bedrohung war. Und auch die Angreifer nahmen nie Kontakt zu dem Unternehmen auf.
Weitere spannende Beiträge
-
- Cybercrime Storys
Ein Ransomware-Angriff, der global 30 Standorte einer Reederei zu Fall bringen kann.
Zum BeitragAls eine international agierende Reederei Opfer eines raffinierten Angriffs wird, steht für die über 30 Standorte alles auf dem Spiel. Die ersten Niederlassungen sind bereits verschlüsselt, die Bedrohung breitet sich rasant von Asien bis nach Deutschland aus – und die Zeit läuft. Doch ein deutscher IT-Leiter handelt schnell und schaltet unser IT-Forensik-Team ein. Gerade noch rechtzeitig?
-
- Cybercrime Storys
Der Server stand nach außen offen wie ein Scheunentor
Zum BeitragBranche: Verlagswesen / Mitarbeitende: +100 Dieser Fall hätte definitiv vermieden werden können, wenn das Unternehmen einen IT-Dienstleister mit stärkerem Fokus auf IT-Sicherheit beauftragt hätte. Doch davon ahnt der Geschäftsführer noch nichts, als er am Sonntag eine Mail nicht verschicken kann. Am Montagmorgen sind bereits Teile seines Unternehmens verschlüsselt, die interne IT schlägt Alarm. Das Unternehmen […]
-
- Cybercrime Storys
Erpresser machen auch vor Charity nicht Halt
Zum BeitragBranche: Non-Profit-Organisation / Mitarbeitende: +100 Der IT-Mitarbeiter einer Non-Profit-Organisation bemerkt es gleich am Morgen, als er seinen Computer hochfährt: Irgendetwas stimmt nicht. Er kann sich auf verschiedenen Systemen nicht anmelden, und die ersten Tickets von Mitarbeitenden aus Büro und Homeoffice trudeln ein: Niemand kann mit der Arbeit beginnen, das Netzwerk ist komplett lahmgelegt. Zunächst versucht […]
Wir stehen Ihnen mit unserer Erfahrung zur Seite.
Sie wünschen sich eine persönliche Beratung? Melden Sie sich gern per ausgefülltem Formular oder Anruf bei uns.
Joanna Lang-Recht
Head of IT Forensics
24/7 IT-Notfallhilfe
0180 622 124 6
20 Ct./Anruf aus dem Festnetz, Mobilfunk max. 60 Ct./Anruf
Direkt Kontakt aufnehmen
it-forensik@intersoft-consulting.de
