Aufgestellt wurde die Falle Anfang des Jahres und nach nur drei Tagen hatten Angreifer das Netzwerk entdeckt und Wege gefunden, um es zu kompromittieren – inklusive einer Ransomware-Attacke und dem Abgreifen von Log-in-Informationen. Einfallstor waren dabei Remoteverwaltungstools, die den Kriminellen Zugang zum Netzwerk verschafften. Dann wurde das Administratorenkennwort geknackt und der Desktop übernommen. Von dort griffen sie auf einen kompromittierten Server zu und stahlen mit PowerShell-Tools wie Mimikatz weitere Anmeldeinformationen. So konnten sie sich weiter im Netzwerk verbreiten und noch mehr Computer übernehmen. Mittels Scans suchten die Hacker außerdem nach so vielen Endpunkten wie möglich, auf die sie von ihrer aktuellen Position zugreifen konnten, um weitere Anmeldeinformationen zu erhalten.
Erst nachdem all diese Schritte vollständig abgeschlossen waren, kam die Ransomware zum Einsatz – und zwar an allen gekaperten Endpunkten gleichzeitig. So sollten die Auswirkungen des Angriffs maximiert werden. Weigert sich das Opfer, das geforderte Lösegeld zu zahlen, haben die Erpresser durch ihr mehrstufiges Vorgehen ein weiteres Druckmittel in der Hand: Durch die vorher erbeuteten Anmeldeinformationen können sie oft auf sensible Daten zugreifen und nun damit drohen, diese zu veröffentlichen.
Insgesamt wurde der Honeypot mehrfach angegriffen, sowohl mit weiteren Ransomware-Attacken, als auch von Hackern, die das Netzwerk lediglich ausspionieren wollten. Doch auch das ist nicht minder bedenklich, schließlich handelte es sich bei dem Honeypot vermeintlich um einen internationalen Energieversorger. Auch ein anders gearteter Angriff kann bei kritischen Infrastrukturen fatale Folgen haben. Trotzdem scheint Ransomware allein durch die Anzahl der registrierten Angriffe auf den Honeypot die Schlüsselmethode von kriminellen Angreifern zu sein, um Netzwerke zu kompromittieren.
Das Experiment zeigt sehr deutlich, welchen Gefahren Netzwerke von kritischen Infrastrukturen ausgesetzt sind und welche Einfallstore besonders angreifbar sind. Sie müssen so stabil konstruiert sein, dass sie Angriffe abwehren. Dazu gehören insbesondere die Trennung zwischen IT- und Betriebstechnologienetzwerken und die Nutzung starker Passwörter, aber auch die Schaffung eines kollektiven Bewusstseins für die Cybersicherheit unter den Beschäftigten.
Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.
8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 15 Jahren ist das Ziel von 8com, Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferent
Telefon: +49 (30) 3030808913
Fax: +49 (30) 30308089-20
E-Mail: gaertner@quadriga-communication.de
Leiterin Kommunikation & Medien
Telefon: +49 (6321) 48446-0
E-Mail: redaktion@8com.de
