Malware: Hacker übernehmen Honeypot-Netzwerk in nur drei Tagen

Mit Honig fängt man bekanntlich Fliegen. Mit einem sogenannten Honeypot (Honigtopf) fängt man hingegen Hacker. Dazu werden Computer oder Netzwerke aufgesetzt, die als besonders attraktives Ziel für Cyberkriminelle erscheinen. Damit soll die Vorgehensweise von Angreifern untersucht werden, ohne dabei echte Daten und Netzwerke in Gefahr zu bringen. Aktuell stehen industrielle Kontrollnetzwerke laut einer Warnung der Sicherheitsexperten von Cybereason im Fokus der Angreifer. Sie haben in einem Honeypot das Netzwerk eines fiktiven internationalen Elektrizitätsunternehmens nachgebaut, um zu zeigen, wie schnell Hacker Schwachstellen in kritischen Infrastrukturen ausnutzen. Um möglichst authentisch zu wirken und um potenzielle Angreifer zu verführen, wurden bei der Gestaltung des Honeypots auch typische Schwachstellen wie Benutzerschnittstellen und zu schwache Passwörter einbezogen.

Aufgestellt wurde die Falle Anfang des Jahres und nach nur drei Tagen hatten Angreifer das Netzwerk entdeckt und Wege gefunden, um es zu kompromittieren – inklusive einer Ransomware-Attacke und dem Abgreifen von Log-in-Informationen. Einfallstor waren dabei Remoteverwaltungstools, die den Kriminellen Zugang zum Netzwerk verschafften. Dann wurde das Administratorenkennwort geknackt und der Desktop übernommen. Von dort griffen sie auf einen kompromittierten Server zu und stahlen mit PowerShell-Tools wie Mimikatz weitere Anmeldeinformationen. So konnten sie sich weiter im Netzwerk verbreiten und noch mehr Computer übernehmen. Mittels Scans suchten die Hacker außerdem nach so vielen Endpunkten wie möglich, auf die sie von ihrer aktuellen Position zugreifen konnten, um weitere Anmeldeinformationen zu erhalten.

Erst nachdem all diese Schritte vollständig abgeschlossen waren, kam die Ransomware zum Einsatz – und zwar an allen gekaperten Endpunkten gleichzeitig. So sollten die Auswirkungen des Angriffs maximiert werden. Weigert sich das Opfer, das geforderte Lösegeld zu zahlen, haben die Erpresser durch ihr mehrstufiges Vorgehen ein weiteres Druckmittel in der Hand: Durch die vorher erbeuteten Anmeldeinformationen können sie oft auf sensible Daten zugreifen und nun damit drohen, diese zu veröffentlichen.

Insgesamt wurde der Honeypot mehrfach angegriffen, sowohl mit weiteren Ransomware-Attacken, als auch von Hackern, die das Netzwerk lediglich ausspionieren wollten. Doch auch das ist nicht minder bedenklich, schließlich handelte es sich bei dem Honeypot vermeintlich um einen internationalen Energieversorger. Auch ein anders gearteter Angriff kann bei kritischen Infrastrukturen fatale Folgen haben. Trotzdem scheint Ransomware allein durch die Anzahl der registrierten Angriffe auf den Honeypot die Schlüsselmethode von kriminellen Angreifern zu sein, um Netzwerke zu kompromittieren.

Das Experiment zeigt sehr deutlich, welchen Gefahren Netzwerke von kritischen Infrastrukturen ausgesetzt sind und welche Einfallstore besonders angreifbar sind. Sie müssen so stabil konstruiert sein, dass sie Angriffe abwehren. Dazu gehören insbesondere die Trennung zwischen IT- und Betriebstechnologienetzwerken und die Nutzung starker Passwörter, aber auch die Schaffung eines kollektiven Bewusstseins für die Cybersicherheit unter den Beschäftigten.
Über die 8com GmbH & Co. KG

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.

8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 15 Jahren ist das Ziel von 8com, Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

Firmenkontakt und Herausgeber der Meldung:

8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de

Ansprechpartner:
Kent Gaertner
Pressereferent
Telefon: +49 (30) 3030808913
Fax: +49 (30) 30308089-20
E-Mail: gaertner@quadriga-communication.de
Eva-Maria Nachtigall
Leiterin Kommunikation & Medien
Telefon: +49 (6321) 48446-0
E-Mail: redaktion@8com.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel