CyberCompare

23. Juli 2021: Datenleck bei saudischem Ölkonzern ++ Wieso so hohe Lösegeldforderungen? ++ Mehr DDoS-Angriffe

Hohe Lösegeldforderung nach Datenleck bei saudischem Ölkonzern

Der saudische Ölgigant Aramco bestätigte am Mittwoch ein Datenleck. Einige seiner Firmendaten seien demnach über einen Auftragnehmer durchgesickert. Im Darknet war inzwischen eine Lösegeldforderung in Höhe von 50 Millionen US-Dollar aufgetaucht.

Quelle: https://twitter.com/campuscodi/status/1417003770731450370

Saudi-Arabiens staatlicher Ölkonzern Saudi Aramco räumte ein, dass einige seiner Daten im Internet gegen Lösegeld festgehalten werden. Laut Aramco stammten die Daten sehr wahrscheinlich von einem Drittanbieter. Die Ölgesellschaft bestritt aber zugleich, dass es einen Einbruch in ihre Computersysteme gegeben habe.

Die weltgrößte Erdölfördergesellschaft im Nahen Osten, deren Unternehmenswert auf fast zwei Billionen US-Dollar geschätzt wird, bestätigte am Mittwoch gegenüber der Nachrichtenagentur AP, dass sie „vor Kurzem von der indirekten Weitergabe einer begrenzten Menge von Unternehmensdaten Kenntnis erlangt hat, die von Drittanbietern verwahrt wurden“.

Der Auftragnehmer wurde jedoch nicht genannt. Zudem war auch nicht klar, ob die Daten gehackt, durchgestochen oder auf eine andere Weise erlangt wurden.

Ein Twitter-Nutzer schrieb auf dem Kurznachrichtendienst, dass eine Seite im Darknet behaupte, Daten von Saudi Aramco zu verkaufen.

Seit Dienstag tauchten auf Darknet-Seiten Unterlagen auf, die angeblich dem Unternehmen gehören, zusammen mit einer Forderung nach 50 Millionen US-Dollar in Kryptowährung, um die angebotenen Daten wieder löschen zu lassen. Es war unklar, wer das Lösegeld fordert.

Auch die Nachrichtenagentur AP berichtete, dass etwa 1 Terabyte der Daten von Aramco von einem Erpresser gehalten würden. Sie beriefen sich auf eine Seite im Darknet, auf der die 50 Millionen US-Dollar in Kryptowährung gefordert werden, um die Unterlagen zu löschen.

Seitens Aramco hieß es gegenüber AP: „Wir bestätigen, dass die Weitergabe der Daten nicht auf eine Verletzung unserer Systeme zurückzuführen ist, keine Auswirkungen auf unseren Betrieb hat und das Unternehmen weiterhin eine robuste Cybersicherheitsstruktur aufrechterhält.“

Das Unternehmen war in der Vergangenheit Ziel von Cyberangriffen, für die die USA und Saudi-Arabien den Iran verantwortlich machten. Im Jahr 2017 legte ein Virus die Computer der Sadara Chemical Company lahm, einem Gemeinschaftsunternehmen zwischen Aramco und dem US-Unternehmen Dow Chemical. Offiziell hieß es, es könnte sich um eine weitere Version von Shamoon handeln, jenem Virus, der den saudischen Ölriesen 2012 dazu gezwungen hatte, sein gesamtes Firmennetzwerk mit etwa 30.000 Computern herunterzufahren, um ihn zu beseitigen.

Quelle: https://www.bloomberg.com/news/articles/2021-07-21/saudi-aramco-confirms-data-leak-after-reported-cyber-extortion

Warum zahlen so viele Opfer Ransomware-Lösegeld?

In einem Artikel von KrebsonSecurity wird diese Woche diskutiert, warum Opfer von Ransomware-Angriffen Lösegeld zahlen und wie es sich verhindern lässt.

Die zentrale Frage dabei: „Warum zahlen Firmen ein Lösegeld für einen Key, der zur Entschlüsselung ihrer Systeme benötigt wird, selbst wenn sie die Mittel haben, selbst alles aus den Backups wiederherzustellen“?

Laut Experten ist der Hauptgrund dafür, dass sich schlicht niemand in der Organisation des Opfers die Mühe gemacht hat, im Voraus zu testen, wie lange der Prozess der Datenwiederherstellung dauern könnte.

„In vielen Fällen haben Unternehmen zwar Backups, aber sie haben noch nie versucht, ihr Netzwerk aus den Backups wiederherzustellen, also haben sie keine Ahnung, wie lange das dauern wird“, sagt Fabian Wosar, Chief Technology Officer bei Emsisoft.

„Plötzlich bemerkt das Opfer, dass es ein paar Petabytes an Daten über das Internet wiederherstellen muss, und es wird ihm klar, dass es selbst mit seinen schnellen Verbindungen drei Monate dauern wird, um all diese Backup-Dateien herunterzuladen. Viele IT-Teams machen nicht einmal eine Rückwärtsrechnung, wie lange sie für die Wiederherstellung aus Sicht der Datenrate brauchen würden.“

Das zweithäufigste Szenario laut Worsa: Die verschlüsselten Backups der Daten der Opfer liegen außerhalb des Standorts, aber der digitale Key, der zum Entschlüsseln ihrer Backups benötigt wird, wurde auf demselben lokalen File-Sharing-Netzwerk gespeichert, das von der Ransomware verschlüsselt wurde.

Das dritte Szenario: Die Ransomware-Angreifer haben es geschafft die Backups zu beschädigen.

Laut Worsa sei das immer noch sehr selten: „Es kommt zwar vor, aber es ist eher die Ausnahme als die Regel. Leider ist es immer noch recht häufig, dass man die Backups in irgendeiner Form zur Verfügung hat und einer der genannten Szenarien verhindert, dass sie nützlich sind.“

Bill Siegel, CEO und Mitbegründer von Coveware, einem Unternehmen, das Ransomware-Zahlungen für Opfer aushandelt, sagte, dass die meisten Unternehmen, die zahlen, entweder keine richtig konfigurierten Backups haben, oder sie haben ihre Ausfallsicherheit oder die Fähigkeit zur Wiederherstellung ihrer Backups nicht gegen das Ransomware-Szenario getestet.

„Es kann sein, dass sie 50 Petabytes an Backups haben, aber sie befinden sich in einer Einrichtung, die 30 Meilen (ca. 48 km) entfernt ist.  Und dann beginnen sie [mit der Wiederherstellung über ein Kupferkabel von diesen entfernten Backups] und es geht wirklich langsam … und jemand holt einen Taschenrechner heraus und stellt fest, dass es 69 Jahre dauern wird [um das wiederherzustellen, was sie brauchen]“, so Siegel gegenüber Wired.

„Oder es gibt eine Menge Software-Anwendungen, die sie für eine Wiederherstellung verwenden, und einige dieser Anwendungen befinden sich in ihrem Netzwerk, das verschlüsselt wurde“, so Siegel weiter. „Also denken Sie: ‚Oh toll. Wir haben Backups, die Daten sind da, aber die Anwendung für die eigentliche Wiederherstellung ist verschlüsselt. Es gibt also all diese kleinen Dinge, die einen daran hindern können, eine Wiederherstellung durchzuführen, wenn man nicht geübt ist.“

Wosar erklärt, dass alle Unternehmen sowohl ihre Backups testen als auch einen Plan für die Priorisierung der Wiederherstellung von kritischen Systemen entwickeln müssen, die für den Wiederaufbau ihres Netzwerks benötigt werden.

„In vielen Fällen kennen Unternehmen nicht einmal ihre verschiedenen Netzwerkabhängigkeiten und wissen daher nicht, in welcher Reihenfolge sie die Systeme wiederherstellen sollten“, sagte er. „Sie wissen nicht im Voraus: ‚Hey, wenn wir getroffen werden und alles ausfällt, sind dies die Dienste und Systeme, die für ein grundlegendes Netzwerk, auf dem wir aufbauen können, Priorität haben.'“

Laut Wosar ist es außerdem wichtig, dass Unternehmen ihre Pläne für die Reaktion auf Sicherheitsverletzungen in regelmäßigen Tabletop-Übungen üben und dabei anfangen können, ihre Pläne zu verfeinern. Wenn das Unternehmen beispielsweise einen physischen Zugang zu seinem Remote-Backup-Rechenzentrum hat, könnte es sinnvoller sein, Prozesse für den physischen Transport der Backups zum Wiederherstellungsort zu entwickeln.

„Viele Betroffene sehen sich damit konfrontiert, ihr Netzwerk auf eine Art und Weise wiederherstellen zu müssen, mit der sie nicht gerechnet haben. Und das ist normalerweise nicht der beste Zeitpunkt, um solche Pläne zu entwickeln. Aus diesem Grund sind Tabletop-Übungen unglaublich wichtig. Wir empfehlen, ein ganzes Playbook zu erstellen, damit Unternehmen wissen, was Sie tun müssen, um sich von einem Ransomware-Angriff zu erholen.“

Quellen: https://krebsonsecurity.com/2021/07/dont-wanna-pay-ransom-gangs-test-your-backups/

Zahl der DDoS-Angriffe steigt

Die Zahl der DDoS-Attacken erreichte laut dem IT-Sicherheitsanbieter Link11 im 1. Halbjahr 2021 einen neuen Höchstwert. Die Zunahme gegenüber dem Vorjahreszeitraum mit seinem DDoS-Boom und einer Verdopplung der Angriffe betrug noch einmal 33 %. Das geht aus den neuen Netzwerkstatistiken des Link11 Security Operations Centers (LSOC) hervor.

Auch das Softwareunternehmen Kaspersky berichtet von 47 Prozent mehr DDoS-Angriffe im ersten Quartal 2021. Der Zuwachs sei auf ein ungewöhnlich hohes Aufkommen im Monat Januar zurückzuführen. Dort wurden 43 Prozent aller DDoS-Angriffe des Quartals erfasst. Laut Kaspersky korrespondiert dieses Hoch mit einem gleichzeitigen Kurseinbruch bei Kryptowährungen, der vermutlich auch die Strategie cyberkrimineller Akteure beeinflusste.

Laut den Statistiken des LSOC ist die Anzahl von DDoS-Angriffen auch nach dem Hoch im Januar noch einmal gestiegen: Das Unternehmen verzeichnete im 2. Quartal 2021 19 % mehr Angriffe als im Quartal davor. Ein Ende der aktuellen Welle im laufenden dritten Quartal sei noch nicht abzusehen.

Auch die Intensität der Erpressungen ist nach Einschätzung der IT-Sicherheitsexperten gestiegen. Die Angreifer gehen durchaus organisierter vor als in den Jahren zuvor. Die Lösegeldforderungen würden jetzt je nach Unternehmensgröße und Branche der Opfer variieren. Dabei sind unterschiedliche Branchen von DDoS Attacken betroffen: Finanzen, E-Commerce, Medien, Logistik etc.

Kaspersky hat im Zuge der neuen Zahlen noch einmal auf die Sicherheitsempfehlungen zum Schutz vor DDoS-Angriffen hingewiesen:

  • Stresstests und Webanwendungs-Audits mit internen Mitarbeitern oder mit Hilfe von externen Spezialisten Unternehmensinfrastruktur zu identifizieren.
  • Dediziert Mitarbeiter für die Wartung der Webressourcen zuweisen.
  • Kontaktinformationen von Drittanbietern überprüfen. Dies schließt auch die Vereinbarungen mit dem Internetdienstanbieter ein, damit im Notfall schnell reagiert werden kann.

Quelle:

47 Prozent mehr DDoS-Angriffe im ersten Quartal 2021 | Kaspersky

DDoS-Angriffe steigen 2021 weiter an – it-daily.net

Sie denken über Cyber-Sicherheitsmaßnahmen nach? CyberCompare hat geprüfte Anbieter im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote. Sprechen Sie uns an (Mail an uns) oder testen Sie Ihr Cyberrisikoprofil mit unserer Diagnostik.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.