Ransomware infiziert Industrieunternehmen über Sicherheitslücke in VPN-Servern

Eine Untersuchung des Vorfalls durch die Experten des Kaspersky ICS CERT [1] in einem der angegriffenen Unternehmen zeigt nun, dass bei den Angriffen eine Sicherheitslücke in VPN-Servern ausgenutzt wurde. Zu den Betroffenen gehören europäische Industrieunternehmen. Mindestens in einem Fall führte dies zu einem vorübergehenden Stillstand eines Produktionsstandortes.

Im Jahr 2019 wurde die Sicherheitslücke CVE-2018-13379 [2] in Fortigate-VPN-Servern bekannt. Sie wurde zwar gepatcht, jedoch erfolgte nicht bei allen Geräten eine Aktualisierung. Ab Herbst 2020 tauchten infolgedessen Angebote in Dark-Web-Foren zum Kauf einer Liste mit IP-Adressen von internetfähigen anfälligen Geräten auf. Damit kann sich ein nicht authentifizierter Angreifer über das Internet mit dem Gerät verbinden und aus der Ferne auf die Sitzungsdatei zugreifen, in der Nutzername und Passwort im Klartext gespeichert sind.

Die von den Experten des Kaspersky ICS CERT durchgeführte Incident Response hat ergeben, dass bei der Serie von Cring-Ransomware-Angriffen der Bedrohungsakteur die Sicherheitslücke CVE-2018-13379 ausnutzte, um sich Zugang zum Unternehmensnetzwerk zu verschaffen.

Infektionsschema: Zuerst Testverbindungen zum VPN-Gateway

Die Untersuchung ergab, dass die Angreifer bereits einige Zeit vor der Hauptphase der Operation Testverbindungen zum VPN-Gateway durchführten – offenbar um sicherzustellen, ob die gestohlenen Nutzeranmeldedaten für das VPN noch gültig waren. Am Tag der Kompromittierung und nach Zugriff auf das erste System im Unternehmensnetzwerk nutzten die Angreifer das Dienstprogramm Mimikatz. Damit wurden die Kontoanmeldeinformationen von Windows-Nutzern gestohlen, die sich zuvor an dem infiltrierten System angemeldet hatten. Die Angreifer konnten zudem das Konto des Domänenadministrators kompromittieren, woraufhin sie auch auf andere Unternehmensnetzwerksysteme – durch die Übernahme dessen Zugriffsrechte – zugreifen konnten. Nachdem sie sich einen Überblick verschafft und die Kontrolle über die für den Betrieb des Industrieunternehmens wichtigen Systeme erlangt hatten, luden die Angreifer die Ransomware Cring herunter und starteten sie.

Laut Kaspersky-Experten spielte hierbei das Fehlen rechtzeitiger Datenbank-Updates für die auf den angegriffenen Systemen verwendete Sicherheitslösung eine wichtige Rolle. Aus diesem Grund konnte diese die Bedrohung nicht rechtzeitig erkennen und blockieren. Darüber hinaus waren einige Komponenten der Antivirenlösung deaktiviert, was die Qualität des Schutzes weiter reduzierte.

„Verschiedene Details des Angriffs deuten darauf hin, dass die Angreifer die Infrastruktur der anvisierten Organisation sorgfältig analysiert und ihre eigene Infrastruktur und ihr Toolset auf Basis der in der Aufklärungsphase gesammelten Informationen vorbereitet haben“, kommentiert Vyacheslav Kopeytsev, Sicherheitsexperte beim Kaspersky ICS CERT. „So war beispielsweise auf dem Host-Server für die Malware, von dem die Cring-Ransomware heruntergeladen wurde, die Infiltration über die IP-Adresse aktiviert und er reagierte lediglich auf Anfragen aus mehreren europäischen Ländern. Die Skripte der Angreifer tarnten die Aktivität der Malware als Operation der Antivirenlösung des Unternehmens und beendeten die Prozesse von Datenbankservern (Microsoft SQL Server) und Backup-Systemen (Veeam), die auf den für die Verschlüsselung ausgewählten Systemen eingesetzt wurden. Eine Analyse zeigt, dass die Angreifer auf Basis ihrer Vorrecherchen diejenigen Server verschlüsselt haben, von denen sie glaubten, den größtmöglichen Schaden für das attackierte Unternehmen erreichen zu können.“

Kaspersky-Empfehlungen zum Schutz vor Ransomware-Angriffen wie Cring

• Die Firmware des VPN-Gateways sowie die Endpunktschutzlösungen und deren Datenbanken stets auf dem neuesten Stand halten.
• Sicherstellen, dass alle Module von Endpunktschutzlösungen – wie vom Hersteller empfohlen – immer aktiviert sind.
• Gewährleisten, dass die Active-Directory-Richtlinie es Nutzern nur erlaubt, sich an den Systemen anzumelden, die für ihre betrieblichen Anforderungen erforderlich sind.
• Einschränkung des VPN-Zugangs zwischen den einzelnen Einrichtungen. Alle Ports, die nicht für betriebliche Zwecke benötigt werden, sollten geschlossen sein.
• Das Backup-System sollte so konfiguriert werden, dass Sicherungskopien auf einem eigenen Server gespeichert sind.
• Eine Endpoint Detection and Response-Sicherheitslösung [3] sowohl in der IT- als den OT-Netzwerken kann vor Ransomware-Angriffen schützen.
• Eine Anpassung von Managed Detection and Response-Services [4], um sofortigen Zugriff auf das höchste Niveau an Fähigkeiten und Wissen von professionellen Sicherheitsexperten zu erhalten, dient ebenfalls einer Steigerung des Sicherheitslevels.
• Die Nutzung eines dedizierten Schutzes für industrielle Prozesse, etwa Kaspersky Industrial CyberSecurity [5] schützt industrielle Netzwerkknotenpunkte und ermöglicht die Überwachung von OT-Netzwerken, um schädliche Aktivitäten aufzudecken und zu stoppen.

Weitere Informationen unter https://ics-cert.kaspersky.com/reports/2021/04/07/vulnerability-in-fortigate-vpn-servers-is-exploited-in-cring-ransomware-attacks/

[1] https://ics-cert.kaspersky.com/reports/2021/04/07/vulnerability-in-fortigate-vpn-servers-is-exploited-in-cring-ransomware-attacks/

[2] https://nvd.nist.gov/vuln/detail/CVE-2018-13379

[3] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr

[4] https://www.kaspersky.de/enterprise-security/managed-detection-and-response

[5] https://ics.kaspersky.de/

Nützliche Links:

• Kaspersky-Erkenntnisse zu Angriffen durch VPN-Sicherheitslücken: https://ics-cert.kaspersky.com/reports/2021/04/07/vulnerability-in-fortigate-vpn-servers-is-exploited-in-cring-ransomware-attacks/
• Kaspersky Industrial CyberSecurity: https://ics.kaspersky.de/
• Kaspersky Endpoint Detection and Response. https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr
• Kaspersky Managed Detection and Response: https://www.kaspersky.de/enterprise-security/managed-detection-and-response

Über Kaspersky ICS CERT

Das Kaspersky Industrial Control Systems Cyber Emergency Response Team (Kaspersky ICS CERT) ist ein weltweites Projekt, das von Kaspersky im Jahr 2016 ins Leben gerufen wurde, um die Bemühungen von Anbietern von Automatisierungssystemen, Eigentümern und Betreibern von Industrieanlagen sowie IT-Sicherheitsforschern zum Schutz von Industrieunternehmen vor Cyberangriffen zu koordinieren. Der Fokus von Kaspersky ICS CERT liegt darauf, potenzielle und bestehende Bedrohungen für industrielle Automatisierungssysteme und das Industrial Internet of Things (IIoT) zu identifizieren. Seit der Gründung identifizierte das Team mehr als 200 kritische Sicherheitslücken in Produkten von großen weltweiten ICS-Anbietern. Kaspersky ICS CERT ist aktives Mitglied und Partner führender internationaler Organisationen, die Empfehlungen zum Schutz von Industrieunternehmen vor Cyberbedrohungen erarbeiten.
Weitere Informationen unter https://ics-cert.kaspersky.com/

Über Kaspersky

Kaspersky ist ein internationales Unternehmen für Cybersicherheit und digitale Privatsphäre, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnder Cyberbedrohungen. Über 400 Millionen Nutzer und 240.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter https://www.kaspersky.de/