Erpressungsangriff auf Sicherheitsfirma Qualys - wie reagiere ich auf eine Hackerattacke richtig?
von Svenja Koch
Die Nachrichten über erfolgreiche Cyberangriffe reißen nicht ab. Auch die US-amerikanische Firma Qualys wurde getroffen. Deren Geschäftsfeld ist die Sicherheitstechnik für IT- und Cloud-Systeme. Das Unternehmen bestätigte, dass der Angriff bereits Ende Dezember 2020 stattfand.
Das Ziel des Cyberangriffs auf Qualys
Inzwischen ist im Detail bekannt, wie die Attacke auf Qualys ablief. Das Ziel war nicht ein eigenes Softwareprodukt des Unternehmens, sondern die Plattform eines Drittanbieters. Hierbei handelt es sich um Server von Accellion FTA, einem Anbieter für Infrastrukturen, die den Austausch von Daten über verschlüsselte Verbindungen ermöglichen. Qualys nutzt Accellion FTA im Supportbereich.
Die Angreifer hatten es auf Kundeninformationen abgesehen und es gelang, diese von den Accellion FTA-Servern zu kopieren. Damit starteten die Cyberkriminellen einen Erpressungsversuch gegen Qualys. Sollte das Unternehmen nicht auf die Forderungen eingehen, drohten die Erpresser mit der Veröffentlichung der kritischen und persönlichen Kundeninformationen.
So gingen die Angreifer bei der Attacke auf Qualys vor
Den Angreifern gelang es, die Server von Accellion FTA über Sicherheitslücken zu infiltrieren. Diese Schwachstellen im System, die für akute Cyberbedrohungen sorgten, wurden im Dezember 2020 bekannt. Sie sind als CVE-2021-27101, CVE-2021-27102, CVE-2021-27103 und CVE-2021-27104 gelistet. Diese Schwachpunkte zählen zu den sogenannten Zero Day Exploits, also Sicherheitslücken, die Angreifer ausnutzen, bevor die Systembetreiber Kenntnis über diese besitzen.
Über diese Schwachstelle haben Angreifer einen Clop-Trojaner auf dem Accellion FTA-Server, den Qualys nutzt, implementiert. Der Clop-Trojaner zählt zur Klasse der Ransomware. Er agiert nach einem spezifischen, immer gleichen Muster. Sobald der Trojaner auf das System gelangt, sucht er nach Virenschutzsoftware. Dieser Virenschutz wird durch den Clop-Trojaner deaktiviert. Dabei ist der Trojaner sowohl in der Lage, Virenschutz von Drittanbietern zu deaktivieren, als auch eigene Schutzmechanismen des Betriebssystems, wie etwa den Windows Defender.
Sobald die Verteidigungsmechanismen außer Kraft gesetzt sind, beginnt die zweite Stufe des Trojaners. Dann verschlüsselt oder stiehlt die Ransomware die Informationen auf dem infizierten System, in diesem Fall jene des Accellion FTA-Servers. Dies ist ein typisches Vorgehen bei Cyberangriffen mit Ransomware. Sobald die Angreifer die Kontrolle über die Daten haben, beginnt die Erpressung. Das finale Ziel ist es also, einen finanziellen Vorteil aus Cyberangriffen mit Ransomware zu ziehen.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
Mit diesen Gegenmaßnahmen reagierte Qualys
Accellion brachte am 21. Dezember 2020 einen Patch heraus, der die Sicherheitslücken im System schließt und somit Cyberbedrohungen über diesen Weg verhindert. Laut Qualys fand die Installation des Updates durch die IT Security auf der eigenen Infrastruktur am 22. Dezember, also innerhalb eines Tages nach der Veröffentlichung, statt. Es ist jedoch davon auszugehen, dass zu diesem Zeitpunkt die Server bereits kompromittiert waren.
Am 24. Dezember erkannte die IT Security bei Qualys, dass der von ihnen genutzte Accellion FTA-Server von einem Angriff betroffen ist. Unverzüglich begannen die Gegenmaßnahmen. Die erste Aktion der IT Security war es, die betroffene Infrastruktur zu isolieren. Er erfolgte eine Trennung der Accellion FTA-Server von dem restlichen Netzwerk von Qualys. Somit waren die physikalischen Verbindungen zwischen dem infizierten System und allen anderen Bereichen im Unternehmen getrennt. Die IT Security unternahm diese Schritte, um Cyberangriffe einzudämmen und die Ausbreitung der Ransomware im Netzwerk zu stoppen. Außerdem wurde so der Kommunikationskanal zwischen den Angreifern und dem betroffenen System unterbunden. Sobald die infizierten Server keine Verbindung zu dem Internet mehr haben, ist es für die Angreifer unmöglich, die Ransomware zu steuern. In diesem Zusammenhang wird von einer DMZ, einer demilitarisierten Zone, gesprochen.
Alle Services, die üblicherweise der Accellion FTA-Server bereitstellte, wurden durch Ersatzsysteme übernommen. Der nächste Schritt, den die IT Security von Qualys unternahm, betraf die Analyse des Cyberangriffes. Durch eine detaillierte Auswertung der betroffenen Server ermittelte das IT Security Team von Qualys das genaue Ausmaß der Cyberattacke. Hierbei stellten die Sicherheitsexperten fest, dass außer dem Accellion FTA-Server keine weiteren Systeme innerhalb der eigenen Organisation betroffen waren. Weiterführend zog Qualys ein zusätzliches IT-Sicherheitsunternehmen hinzu. Die US-Sicherheitsspezialisten von FireEye Mandiant begannen mit der Auswertung der Cyberangriffe auf Qualys sowie auf Accellion.
Achtung: Diese Hinweise sprechen für einen Ransomware-Angriff!
Wie an den aktuellen Beispielen zu erkennen ist, sind selbst Unternehmen aus der IT-Sicherheitsbranche nicht vor solchen Cyberangriffen gefeit. Das macht es umso wichtiger für kleine und mittlere Unternehmen, sich mit den Themen IT Security und Cyberbedrohungen auseinanderzusetzen.
Ein wichtiger Schritt ist, die Hinweise für Cyberangriffe mit Ransomware frühzeitig zu kennen. Je früher eine solche Attacke bemerkt wird, desto besser gelingt es, den Schaden umfassend einzudämmen. Die Abwehr beginnt dabei nicht erst bei der IT Security, sondern bei jedem einzelnen Mitarbeiter. Häufig treten die Symptome an den Arbeitsplatzrechnern auf. Sind die Mitarbeiter auf das Thema sensibilisiert, dann entdecken diese Anzeichen für Cyberangriffe mit Ransomware zuverlässiger.
Die folgenden Symptome sind Indizien dafür, dass ein Cyberangriff mit Ransomware läuft oder droht:
- Arbeitsplatzrechner ist plötzlich langsam oder reagiert nicht mehr
- Rechner führt unerwartete Neustarts durch
- Virensoftware meldet einen Fehler oder bricht einen Scan ab
- Auf dem System tauchen unerwartet unbekannte Dateien auf
- Dateien lassen sich nicht mehr öffnen
- Aufforderung zur Installation eines Programms
- System startet selbstständig die Installation einer Software
- Arbeitsplatzrechner fordert den Nutzer zur Eingabe eines Passworts auf
- Auffällige Mails mit dubiosen Anhängen oder Aufforderungen
In jedem Fall ist es wichtig, bei solchen Ereignissen unverzüglich die verantwortlichen Mitarbeiter des IT Security Teams zu informieren.
In der modernen IT-Umgebung sind Cyberbedrohungen omnipräsent und asymmetrisch
An den Beispielen von Qualys und dem aktuellen Fall Microsoft Exchange Server wird erneut deutlich, auf welch unterschiedlichen Wegen eine Organisation von Cyberangriffen bedroht ist. Attacken starten auch über externe Dienste. Hinzu kommt, dass durch den verstärkten Einsatz von Cloud-Infrastruktur die Zahl an unterschiedlichen Systemen innerhalb der eigenen Infrastruktur stetig steigt.
Solche Cyberbedrohungen, die auf die Infrastruktur von Drittanbietern abzielen, liegen außerhalb des Einflussbereiches der eigenen IT Security. Selbst wenn die Cyberabwehr up to date und das eigene Netzwerk vor Cyberangriffen geschützt ist, besteht immer noch eine Gefahr. Zero Day-Exploits betreffen selbst renommierte Unternehmen, bei denen Nutzer davon ausgehen, dass sie absolut sicher sind. In den aktuellen Fällen sind dies beispielsweise die Serversysteme von Microsoft.
Das Beispiel von Qualys zeigt, wie Unternehmen richtig auf erfolgreiche Cyberattacken reagieren. Zunächst ist offensichtlich, dass die Update-Strategie funktioniert. Ein neues Sicherheitsupdate installierte die IT Security innerhalb von 24 Stunden nach dem Release. Bei Unternehmen ist dies ein Punkt, der immer wieder negativ auffällt. Systeme, die nicht auf dem aktuellen Stand sind, bieten Angreifern Möglichkeiten für Attacken.
Weiterhin zeigt sich am Vorgehen von Qualys, wie die IT Security im Fall eines erkannten Eindringens in die eigene IT-Infrastruktur handeln muss. Zunächst erfolgt sofort die Isolierung der betroffenen Systeme. Dies bedeutet die Trennung von Servern, Workstations oder anderweitigen Systemen vom internen Netzwerk und auch vom Internet. Danach erfolgt eine präzise Analyse der infizierten Systeme. Hierbei geht es darum, festzustellen, mit welcher Art von Ransomware oder anderweitiger Schadsoftware die Systeme kompromittiert sind. Der zweite wichtige Punkt ist, mit absoluter Sicherheit herauszufinden, ob weitere Bereiche des eigenen Netzwerks betroffen sind. Mit einem Incident Response- und Threat Hunting Service lässt sich umgehend feststellen, ob und in welchem Ausmaß eine Kompromittierung erfolgt ist. Finden sich Anzeichen für eine weitere Ausbreitung im Netzwerk, dann erfolgt auch hier eine Isolierung. Ausgefallene Dienste ersetzte Qualys durch Alternativen, um die Fortsetzung der alltäglichen Arbeit zu ermöglichen. Ebenso sinnvoll war die Entscheidung, weitere Spezialisten für die Analyse der Situation hinzuzuziehen.
Fazit
Durch schnelles und konsequentes Handeln hat Qualys weitergehenden Schaden abgewendet und die Cyberattacke eingedämmt. Dies gelang durch ein planungsvolles und vordefiniertes Vorgehen im Falle eines Cyberangriffs. Es empfiehlt sich, dass eine solche Incident Response Readiness ein fester Bestandteil jeder IT-Sicherheitsstrategie ist. IT-Sicherheitsexperten empfehlen im Rahmen der Erstellung einer IT-Sicherheitsstrategie genau diese Herangehensweise. Vor allem kleine und mittlere Unternehmen benötigen einen solchen Notfallplan, der im Ernstfall dafür sorgt, dass eine Cyberattacke nicht in die Katastrophe führt, sondern gezielt eindämmt wird.
Update: Sicherheitslücke Microsoft Exchange Server
Bereits vorige Woche kontaktierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) zahlreiche Unternehmen in Deutschland und informierte diese über eine schwere Sicherheitslücke im Microsoft Exchange Server. Die E-Mail-Plattform von Microsoft weist eine Schwachstelle auf, über die es möglich ist, Cyberangriffe auszuführen. Kriminellen gelingt so der Zugriff auf Daten und Nachrichten, die über das Mail-System von Microsoft Exchange verschickt wurden. Das BSI empfahl deshalb dringend, die entsprechenden Mail-Systeme durch Einspielen von Updates auf den aktuellen Stand zu bringen.
Die Zahl der Betroffenen entwickelt sich noch immer dynamisch. Insgesamt weiß das BSI von einigen Tausend Servern in Deutschland, bei denen Hacker die Schwachstelle bereits ausgenutzt haben. Dort haben sie eine sogenannte „Webshell“ installiert, die weiterführende Möglichkeiten eröffnet, Schadsoftware in Netzwerke einzuschleusen und zusätzliche Hintertüren zu installieren. Auch KRITIS Unternehmen haben dem BSI bereits Attacken gemeldet.
Indessen zeigt sich immer mehr, dass der Hack der Microsoft Exchange Server ein größeres Ausmaß hat, als zunächst angenommen. Während die Angreifer initial anscheinend gezielt bestimmte Server auswählten, fanden seit Februar automatisierte Cyberangriffe auf Exchange Server statt. Anzeichen deuten darauf hin, dass Unternehmen und Organisationen in Deutschland besonders im Fokus der Attacke stehen. Aus diesem Grund hat das BSI weitere 9.000 Unternehmen in Deutschland per Brief kontaktiert. Auf diesem Weg informiert das Bundesamt die Betriebe über die konkreten Cyberbedrohungen sowie möglichen Maßnahme, die unverzüglich einzuleiten sind.
Laut Microsoft gibt es Hinweise darauf, dass hinter der Attacke eine Gruppe aus China steckt. Die genauen Hintergründe und Absichten der Attacke sind hingegen weiterhin unklar. Über die Attacke ist es grundsätzlich auch möglich, weitere Schadsoftware wie Ransomware in die Unternehmensnetzwerke einzuschleusen.