Ein Ransomware-Angriff, der global 30 Standorte einer Reederei zu Fall bringen kann.
Branche: Weltweit tätige Reederei / Mitarbeitende: +9.000
Die Ausgangslage klingt zunächst nach Daily Business. Ein Mitarbeiter einer Reederei in Deutschland meldet seiner IT einen nicht erreichbaren Dienst. Noch kein bemerkenswerter Vorfall. Doch als vermehrt Meldungen eintreffen, nimmt der IT-Leiter Kontakt zur Holding in Südostasien auf. Und tatsächlich: Dort wurden verschlüsselte Dateien auf dem Server, der den Dienst bereitstellt, gefunden. Der IT-Leiter greift sofort zum Telefon und wählt unsere 24/7-Notfallnummer.
Dem IT-Leiter der Reederei war klar: Da kommt eine Katastrophe angerast.
Bereits nach einem kurzen Telefonat können wir bestätigen, dass der IT-Leiter genau richtig gehandelt hat, denn alle 30 Standorte der Reederei teilen sich weltweit ein Netzwerk und den Aufbau der IT-Infrastruktur. Das Verheerende daran wird jetzt schnell klar: Noch während wir sprechen, breitet sich die Verschlüsselung der asiatischen Standorte dramatisch aus. Durch die Entfernung scheint Deutschland zunächst nicht zu stark betroffen zu sein. Doch das kann sich schnell ändern.
Noch bevor wir mit unserem Team zur Reederei fahren, sorgen wir dafür, dass die deutschen Standorte sofort alle Systeme von den asiatischen trennen und, soweit möglich, auch alle Verbindungen untereinander. Dann machen wir uns zu dritt auf den Weg zum Hauptstandort. Nach unserem technischen Onboarding stellt sich heraus, dass auch vor Ort einige Systeme bereits teilverschlüsselt sind. Wir dürfen keine Zeit verlieren.
Unser Team leitet innerhalb der Reederei Notfallprozesse ein, um größere Schäden zu verhindern.
Während wir mit den betroffenen Systemen unsere Analysen durchführen, können wir die Ransomware identifizieren und einen umfangreichen Katalog von Indicators of Compromise (IOC) erstellen: Ein wertvolles Werkzeug, um das gesamte Unternehmensnetzwerk systematisch auf Anzeichen einer Kompromittierung zu untersuchen. Natürlich geben wir unser so gewonnenes Wissen auch an die internationalen Standorte weiter.
Dank unserer schnellen Analyse kann der Umfang des Angriffs präzise abgeschätzt werden – ein entscheidender Schritt, um alle Sicherheitslücken zu schließen und den Schaden zu begrenzen. Nach der erfolgreichen Eindämmung entdeckt unser Team eine Reihe auffälliger Verbindungen zu ausländischen Standorten. Zusätzlich identifizieren wir schadhafte IP-Adressen, die auf eine gezielte, international koordinierte Attacke hindeuteten.
Unsere Analysen führen uns zu einem Standort in Asien, wo der Angriff begann: Eine Zero-Day-Schwachstelle, die gezielt ausgenutzt wurde. Die deutschen Niederlassungen der Reederei hatten Glück, dass der IT-Leiter sofort gehandelt und uns eingeschaltet hat. Andere Standorte haben die Attacke nicht überstanden.
Tim Beyer, IT-Forensiker
Wie ist der Fall ausgegangen?
Dank des engen Austauschs mit der internen IT und der schnellen sowie präzisen Arbeit unseres Teams wurde die betroffene Umgebung innerhalb von nur vier Tagen wiederhergestellt. Der Betrieb an allen deutschen Standorten nahm wieder Fahrt auf, wodurch die Auswirkungen des Angriffs deutlich reduziert wurden. Andere internationale Niederlassungen kämpften noch monatelang mit den Folgen, erlitten erhebliche finanzielle Verluste oder mussten ganz schließen.
Bei unserem Auftraggeber ist der Schaden vollständig und ohne größere finanzielle Einbußen behoben. Heute sind die deutschen Zweigstellen segmentiert und verfügen über gesicherte Kommunikationskanäle. Obwohl der Vorfall heftig und kräftezehrend war, ist die IT nun glücklich darüber, technisch vollkommen autark zu sein – ein deutlich sichereres Szenario für die Zukunft.
Weitere spannende Beiträge
-
- Cybercrime Storys
Verhandlung mit einer Ransomware-Gruppe: Lösegeld & Bitcoin-Beschaffung
Zum BeitragEin regionales Netzwerk auf dem Medizinbereich wurde Opfer einer professionellen Ransomware-Attacke. Nach vollständiger Verschlüsselung der IT-Infrastruktur war schnelles Handeln gefragt. Die Verhandlung mit den Angreifern, die komplexe und zeitkritische Bitcoin-Beschaffung und die technische Wiederherstellung forderten das volle Spektrum forensischer und strategischer Kompetenz.
-
- Cybercrime Storys
„Hier spricht das LKA. Ihr Kunde wird angegriffen.“
Zum BeitragEin dringender Hinweis des Landeskriminalamts bringt uns in höchste Alarmbereitschaft: Ein schwerer Angriff auf einen Kunden eines IT-Dienstleisters steht unmittelbar bevor. Mit nur wenigen Hinweisen entdecken wir eine fatale Sicherheitslücke, die den Angreifern Tür und Tor öffnet. Doch dann passiert etwas, das uns den Atem stocken lässt...
-
- Cybercrime Storys
Der Server stand nach außen offen wie ein Scheunentor
Zum BeitragBranche: Verlagswesen / Mitarbeitende: +100 Dieser Fall hätte definitiv vermieden werden können, wenn das Unternehmen einen IT-Dienstleister mit stärkerem Fokus auf IT-Sicherheit beauftragt hätte. Doch davon ahnt der Geschäftsführer noch nichts, als er am Sonntag eine Mail nicht verschicken kann. Am Montagmorgen sind bereits Teile seines Unternehmens verschlüsselt, die interne IT schlägt Alarm. Das Unternehmen […]
Wir stehen Ihnen mit unserer Erfahrung zur Seite.
Sie wünschen sich eine persönliche Beratung? Melden Sie sich gern per ausgefülltem Formular oder Anruf bei uns.
Joanna Lang-Recht
Head of IT Forensics
24/7 IT-Notfallhilfe
0180 622 124 6
20 Ct./Anruf aus dem Festnetz, Mobilfunk max. 60 Ct./Anruf
Direkt Kontakt aufnehmen
it-forensik@intersoft-consulting.de
