Hackerangriff auf ein Warenwirtschaftssystem der Lebensmittelindustrie vereitelt

Hackerangriff auf ein Warenwirtschaftssystem der Lebensmittelindustrie vereitelt

Hackerangriff auf ein Warenwirtschaftssystem der Lebensmittelindustrie vereitelt

In letzter Zeit häufen sich in der Presse die Schlagzeilen zu Hackerangriffen aus dem Ernährungssektor. Auch wir konnten bei einem Kunden aus der Lebensmittelindustrie einen Cyberangriff auf ein Warenwirtschaftssystem vereiteln. Diesen Fall möchten wir hier näher beschreiben.

Kürzlich erreichten unsere Leitstelle die Kundenevents „Tor Activity to the Internet“ und „SMTP to the Internet“, die auf eine ungewöhnliche Tor-Aktivität und schadhafte E-Mails hindeuten. Eine anschließende tiefgreifende Analyse im „SIEM“ ergab, dass das veraltete Warenwirtschaftssystem des Kunden durch Cyberkriminelle attackiert wurde.

Zu diesem Zeitpunkt konnten Lieferanten des betroffenen Unternehmens über eine „SSL 3.0“ verschlüsselte Schnittstelle auf das Warenwirtschaftssystem zugreifen. Diese veraltete „SSL Version“ nutzten die Angreifer als Einfallstor und konnten so eine E-Mail-Adresse eines Mitarbeiters aus den Stammdaten erspähen, um ihm im Anschluss eine E-Mail mit schadhaftem Anhang zu senden. Beim Öffnen des Anhangs wurde schließlich ein Skript nachgeladen und ausgeführt, um eine Tor-Verbindung aufzubauen. An dieser Stelle konnten wir unseren Kunden über den Angriffsversuch informieren, bevor dieser zum Abschluss gebracht werden konnte.

Ohne die Meldung des Kundensensors wäre im Anschluss eine Malware heruntergeladen und über „cmd.exe“ zur Ausführung gebracht worden. Die erfolgreiche Ausführung und Verbreitung dieser Malware hätte nicht nur einen unerlaubten Zugriff auf das Warenwirtschaftssystem, sondern auch auf das gesamte Kundennetzwerk zur Folge gehabt. Engpässe der Warenverfügbarkeit und im schlimmsten Fall leerstehende Regale sowie Verdienstausfälle wären mögliche Konsequenzen gewesen. Durch die frühzeitige Meldung unseres Kundensensors konnten jedoch größere Schäden verhindert werden.

Auch ein weiteres Feature gibt zukünftig mehr Sicherheit: Die aufgebaute Tor-Verbindung kann ab sofort mithilfe unserer „Active Reponse“ unterbrochen werden. Eine „Active Response“ ist ein vorkonfiguriertes Skript, das ausgeführt wird, wenn ein bestimmter Alarm, eine Alarmstufe oder eine Regelgruppe ausgelöst wurde. Damit kann eine Aktion nach einer bestimmten Zeitspanne rückgängig gemacht oder eine einmalige Aktion konfiguriert werden. Mithilfe von „Active Response“ können wir zeitnah auf Events reagieren und schnell Gegenmaßnahmen ergreifen.

Unsere Handlungsempfehlungen

  • Sämtliche Systeme sollten regelmäßig aktualisiert und Sicherheitsupdates eingespielt werden. Dies gilt nicht nur für die Anwendung selbst, sondern auch für alle begleitenden Programme, wie die Firewall und das Betriebssystem, auf dem das ERP-System läuft.
  • Es sollte immer die aktuellste Verschlüsselungstechnologie verwendet werden. SSL 3.0 ist inzwischen veraltet und die Weiterentwicklung erfolgte unter der Bezeichnung TLS. Die aktuellen Versionen sind TLS 1.2 und seit 2018 TLS 1.3.
  • Bieten Sie sämtlichen Mitarbeitern regelmäßige Security Awareness Schulungen an, um sie für das Thema IT-Sicherheit zu sensibilisieren.
  • Der Zugriff auf ein System sollte nur den Benutzern gestattet werden, die diesen benötigen. Die Vergabe von präventiven und überwachenden Rechtevorgaben z. B. Zutrittskontrollen erhöhen die Sicherheit.

 

Gefälschte Outlook-Termineinladungen – oft der Grund für einen erfolgreichen Angriff

Gefälschte Outlook-Termineinladungen – oft der Grund für einen erfolgreichen Angriff

Gefälschte Outlook-Termineinladungen – oft der Grund für einen erfolgreichen Angriff

  • In letzter Zeit vermehrt gefälschte Einladung über MS-Outlook
  • Wie gehen die Angreifer vor?
  • Wie kann ich einen Angriff gezielt abwehren?

Im Rahmen der kontinuierlichen Analysen des Certified Security Operations Center (CSOC) werden vermehrt gefälschte Termineinladungen über das Microsoft-Programm „Outlook“ gesichtet. Dabei geben sich die Angreifer als Geschäftspartner, Freunde oder Kollegen des Benutzers aus. Vorher muss der Angreifer sich bereits einen Zugang zu deren Postfächern verschafft haben.

Hintergrund eines solchen Angriffes ist es, dass ein Angreifer als Datensammler agiert, um die Identität des Benutzers zu stehlen. Geht das Angriffsopfer auf den Angriff ein, indem es z.B. auf einen Link klickt oder eine Datei herunterlädt, war der Angreifer erfolgreich. In Folge dessen kann der Angreifer die Kontrolle über das System oder das E-Mail-Konto erhalten und z.B. einen Angriff auf Online-Konten durchführen. Das Ziel dieser Phishing-Technik ist es, letztendlich sensible Daten wie Kreditkartendaten, Geburtsdaten und Adressen zu stehlen. Diese Daten werden dann verkauft oder direkt verwendet, um im Namen des Opfers Konten zu leeren oder Waren zu erwerben. In den meisten Fällen fallen diese E-Mails von Cyberkriminellen oft durch ungewöhnliche Absenderadressen oder Tippfehler auf.

Unsere Handlungsempfehlung:

Personen, die von solch einem Angriff betroffen sind, sollten sowohl die verdächtigte E-Mail als auch die gefälschte Outlook-Termineinladung löschen. Dabei sollte jedoch nicht wie gewohnt auf „Einladung ablehnen“ geklickt werden.

Achtung: Beim Löschen des Kalender-Eintrags wird der User gefragt, ob der Organisator darüber informiert werden soll. Es ist wichtig, dies durch Anklicken auf "Nein" zu verhindern, da der Angreifer ansonsten Kenntnis davon erhält, dass die E-Mail-Adresse des Users aktiv genutzt wird.

Um zu verhindern, dass Einladungen automatisch im Kalender hinzugefügt werden, sollten die Outlook-Einstellungen geändert werden. Damit der Schutz vor Kalender-Spam weiterhin gewährleistet ist, kann über den Menü-Punkt "Datei / Optionen / E-Mail / Verlauf" das Kontrollkästchen "Besprechungsanfragen und automatisierte Abstimmungsantworten" deaktiviert werden.

Karo Ransomware als Folge eines erfolgreichen Social-Engineering-Angriffs

  • Darstellung eines realen Vorfalls

  • Tipps für vorbeugende Maßnahmen

Bei einem unserer Kunden haben wir kürzlich eine Karo Ransomware Attacke festgestellt, die durch einen erfolgreichen Social-Engineering-Angriff verursacht wurde. Gerne möchten wir Ihnen den untersuchten Vorfall schildern und Ihnen praktische Tipps für vorbeugende Maßnahmen mit an die Hand geben.

Details der Analyse

Im Rahmen der Netzwerküberwachung im Certified Security Operations Center (CSOC) wurde kürzlich ein Event mit der Meldung „Tor Activity to the Internet“ untersucht. Die Analyse unseres Teams ergab, dass bei einem unserer angeschlossenen Kunden über den für Tor-Verbindungen bekannte Port 9001 mehrere Verbindungen zu einem System mit einer IP aufgebaut wurden, welche als Tor-Knoten fungierte und eine schlechte Reputation aufwies.

Durch Auswertung der vorliegenden PCAP-Datei wurde festgestellt, dass mehrere Tor-Domänen anvisiert wurden. Außerdem ergab die Analyse der übertragenen Paketdaten der weiteren Meldung „SMTP to the Internet“, dass ein User durch Social Engineering Techniken überlistet wurde, eine täuschend echt aussehende E-Mail mit schadhaftem Anhang zu öffnen. Das anschließend geöffnete Dokument enthielt einen VBA-Skript (Visual Basic for Applications), der mehrere verdächtige Javascript Strings nachgeladen und zur Ausführung gebracht hatte. Die Strings ermöglichten damit die Ausspähung des Zielsystems nach Daten wie Benutzernamen sowie Computernamen, um anhand dieser Daten Prozessinformationen abzurufen und in das System einzudringen.

Anschließend wurden mehrere Tor-Domänen kontaktiert, um die Malware 'Microsoft.vshub.32.exe' herunterzuladen und auszuführen. Um eine Ping-Anfrage zu initiieren bzw. um über Google Chrome eine Verbindung zu mehreren Command and Control (C2) Servern herzustellen, startete die im System ausgebreitete Malware die ‚cmd.exe‘. Die Untersuchung der Strings hat schließlich ergeben, dass es sich bei genutzten Angriffsmethode um die Karo Ransomware Attacke handelt. Ein erfolgreicher Abschluss dieser Attacke hat oftmals die Verschlüsselung von Daten und eine Lösegeldforderung zur Folge.

In diesem beschriebenen Fall konnte die Attacke rechtzeitig abgewehrt werden. Unser Kunde wurde durch unser Blue-Team umgehend informiert, sodass entsprechende Maßnahmen eingeleitet werden konnten. Größere Schäden in der Infrastruktur des Kunden konnten so verhindert werden.

Unsere Maßnahmenempfehlungen

  • Bieten Sie Mitarbeitern regelmäßige Security Awareness Schulungen an, um Sie im Umgang mit E-Mails zu sensibilisieren.
  • Führen Sie regelmäßig Datenbackups Ihrer Daten vom Netzwerk auf getrennten Speichermedien durch.
  • Deaktivieren Sie Dateien, die in den Ordnern "Local AppData" oder "AppData" ausgeführt werden.
  • Die Ausführung von Makros sollte grundsätzlich nur mit festgelegten digitalen Signaturen erlaubt werden.
  • Automatisches Ausführen von Javascript bei Doppelklick sollte verhindert werden.