Wie bei einer Organisation im Bildungswesen aus einer kleinen Phishing E-Mail ein Ransomware-Angriff wurde #Fallbericht-1

8.11.23

Wir sehen es fast täglich bei unseren Einsätzen vor Ort: Ransomware verschlüsselt die Daten eines Unternehmens – und der Eintritt war häufig ein „erfolgreicher“ Phishing-Angriff.

So auch im Falle einer Organisation im Bildungswesen: Eine Ransomware bewirkte bei unserem Kunden die Vollverschlüsselung des gesamten internen Verwaltungsnetzwerks. Glücklicherweise konnte der Angriff darauf eingedämmt werden, knapp 9000 Endgeräte waren insgesamt gefährdet. Eingedrungen waren die Angreifer mit hoher Wahrscheinlichkeit über eine Phishing-Mail, ein Mitarbeiter klickte auf einen bösartigen Link und lud so die Malware herunter.


Einmal auf dem Gerät, breitete sie sich dort unbemerkt aus: Mehrere Wochen lang beobachteten die Angreifer die Netzwerkaktivitäten, suchten ihre Schwachstellen und wurden schließlich auf dem Citrix XenServer fündig. Die Hacker konnten sich darauf anmelden und hatten so Zugriff auf Teile des Verwaltungsnetzes, unter anderem auf einen File-Server. Mittels Brute-Force und Passwort-Sprays knackten sie das Admin-Passwort, gelangten auf den Domain-Controller, verschafften sich über ein „Golden Ticket“ Zugang auf die gesamte IT-Infrastruktur, legten eine DLL auf dem File-Server ab und verbreiten sie über GPO an alle Clients. Den Hackern gelang es so, sensible Active Directory Daten zu stehlen. Trufflepig Forensics fand Spuren weiterer Datendiebstahlversuche im großen Stil, die aber dank IT-Sicherheitsvorkehrungen scheiterten.


Dank eines guten Backup-Konzepts konnte das betroffene Unternehmen den Großteil der Daten wiederherstellen, trotzdem dauerte es Monate, bis die IT-Sicherheitselemente und Netzwerke wieder eingerichtet waren und es wieder voll geschäftsfähig war. Der Vorfall zeigt: Ein einziger Link-Klick kann – trotz bestehender IT-Sicherheitsstrategie – fatale Folgen für das gesamte Unternehmen haben. Ein Risiko, das mit Sensibilisierung und Schulungen erheblich reduziert werden kann.

ServicesUnternehmenRessourcenKontaktNexus
Pfaffenhofen

Hopfenstraße 28, 85283 Wolnzach,
Deutschland

München

Mies-van-der-Rohe-Straße 6,
80807 München

FAQsAGBImpressumDatenschutz
© Trufflepig IT-Forensics GmbH | All Rights Reserved 2023
Created by Creative-Directors GmbH
By clicking “Accept All Cookies”, you agree to the storing of cookies on your device to enhance site navigation, analyze site usage, and assist in our marketing efforts. View our Privacy Policy for more information.
PreferencesDenyAccept