Starke Führung in der Krise
Bereits mehrere Tage, bevor der Entschluss fällt, uns als IT-Forensik hinzuziehen, kommt es bei einem Unternehmen aus der Luftfahrtbranche zu einem schweren Ransomwareangriff, der jegliche interne Ressourcen beansprucht.
Seltsame Ereignisse nach Feierabend
Es fällt einem Mitarbeiter im Homeoffice auf, der von dort abends noch schnell auf ein paar Dokumente auf einem Fileserver zugreifen will. Die Dokumente lassen sich nicht öffnen und wurden umbenannt. Die IT-Abteilung wird direkt telefonisch kontaktiert.
Die IT, die an dem Tag abends Bereitschaft hat, reagiert blitzschnell und befolgt jegliche Schritte des Notfallplans als klar wird, dass es sich um einen Angriff mit einem Verschlüsselungstrojaner handelt. Es wird direkt damit begonnen, kompromittierte Netzbereiche zu isolieren, um kritische Geschäftsprozesse aufrecht zu erhalten. Nach mehreren Stunden gelingt es sogar, aktive Verbindungen von außen zu lokalisieren und die Angreifer aus dem Netzwerk auszusperren. Es kehrt etwas Ruhe ein und die Analysen laufen, um das tatsächliche Schadensausmaß zu erkennen.
Die ersten Aufräumarbeiten laufen
Nach weiteren internen Analysen wird deutlich, wie hoch das Ausmaß des Angriffes tatsächlich ist. Es werden zusätzlich zu den aus dem Notfallplan resultierenden Maßnahmen individuelle Wiederanlaufpläne für die betroffenen Systeme festgelegt. Hierbei wird sehr strukturiert vorgegangen und es entsteht ein Gefühl der Sicherheit, da die Backup-Infrastruktur nicht durch die Ransomware verschlüsselt wurde und dadurch die Möglichkeit besteht, tagesaktuelle Backups wiedereinzuspielen und in wenigen Tagen wieder vollständig online zu sein. Der Geschäftsführer stellt hierbei allerdings die entscheidende Frage. Welche Backups können wir einspielen, bei denen keine Spuren des Angriffs vorhanden sind?
Bereits wenige Stunden nach dem Anruf am Samstagmorgen auf unserer 24/7 Notfallnummer trifft das zuständige Team ein und beginnt nach einem kurzen technischen Onboarding mit der Prüfung der Backups. Wunsch des Geschäftsführers war es natürlich, das aktuellste vorhandene Backup der jeweiligen Systeme wiedereinzuspielen. Nach den Analysen wird am Sonntagabend klar: die Backups, auf denen die Angreifer noch keinen Zugriff auf das Firmennetzwerk hatten, sind die Tagessicherungen 12 Tage vor dem Angriff.
Die Geschäftsführung hat auf das eigene Bauchgefühl vertraut und am Ende Recht behalten. Das bereits betroffene Backup wiedereinzuspielen, hätte den Angreifern erneut vollen Zugriff gegeben.
Matthias Behle, IT-Forensiker
Wie ist der Fall ausgegangen?
Um sicher zu gehen, wurde sich für das Einspielen der Backups 14 Tage vor dem Angriff entschieden, was wir gemeinsam mit der IT-Abteilung durchgeführt haben. Hierbei wurde ein strenges Monitoring von uns implementiert, um jegliche Auffälligkeiten frühzeitig zu erkennen, wenn die Systeme wieder im Tagesbetrieb aktiv sind. Ebenfalls wurden langfristige Maßnahmen entwickelt und implementiert, um zukünftig solche Vorfälle bestmöglich zu verhindern.
Weitere spannende Beiträge
-
- Cybercrime Storys
„Hier spricht das LKA. Ihr Kunde wird angegriffen.“
Zum BeitragEin dringender Hinweis des Landeskriminalamts bringt uns in höchste Alarmbereitschaft: Ein schwerer Angriff auf einen Kunden eines IT-Dienstleisters steht unmittelbar bevor. Mit nur wenigen Hinweisen entdecken wir eine fatale Sicherheitslücke, die den Angreifern Tür und Tor öffnet. Doch dann passiert etwas, das uns den Atem stocken lässt...
-
- Cybercrime Storys
Der Server stand nach außen offen wie ein Scheunentor
Zum BeitragBranche: Verlagswesen / Mitarbeitende: +100 Dieser Fall hätte definitiv vermieden werden können, wenn das Unternehmen einen IT-Dienstleister mit stärkerem Fokus auf IT-Sicherheit beauftragt hätte. Doch davon ahnt der Geschäftsführer noch nichts, als er am Sonntag eine Mail nicht verschicken kann. Am Montagmorgen sind bereits Teile seines Unternehmens verschlüsselt, die interne IT schlägt Alarm. Das Unternehmen […]
-
- Cybercrime Storys
Erpresser machen auch vor Charity nicht Halt
Zum BeitragBranche: Non-Profit-Organisation / Mitarbeitende: +100 Der IT-Mitarbeiter einer Non-Profit-Organisation bemerkt es gleich am Morgen, als er seinen Computer hochfährt: Irgendetwas stimmt nicht. Er kann sich auf verschiedenen Systemen nicht anmelden, und die ersten Tickets von Mitarbeitenden aus Büro und Homeoffice trudeln ein: Niemand kann mit der Arbeit beginnen, das Netzwerk ist komplett lahmgelegt. Zunächst versucht […]
Wir stehen Ihnen mit unserer Erfahrung zur Seite.
Sie wünschen sich eine persönliche Beratung? Melden Sie sich gern per ausgefülltem Formular oder Anruf bei uns.
Joanna Lang-Recht
Head of IT Forensics
24/7 IT-Notfallhilfe
0180 622 124 6
20 Ct./Anruf aus dem Festnetz, Mobilfunk max. 60 Ct./Anruf
Direkt Kontakt aufnehmen
it-forensik@intersoft-consulting.de
