[English]Bei der Computersicherheit liegt der Teufel oft im Detail. Ein verstorbener Mitarbeiter, dessen Konto noch bestand und nicht überwacht wurde, ermöglichte einer Ransomware-Gruppe einen Monat lang unbemerkt Daten aus einem System abzuziehen. Mit beteiligt waren aber auch Cisco-Produkte mit gravierenden Sicherheitslücken, über die die Angreifer der Netfilim-Gruppe über ein Administratorkonto auf die Active Directory-Strukturen des Unternehmens-Netzwerks zugreifen konnte.
Der Hersteller von Sicherheitslösungen, die Firma Sophos hat kürzlich diesen Fall, als Lehrbeispiel, was alles schief gehen kann, veröffentlicht. Ich bin über nachfolgenden Tweet von Threadpost darauf gestoßen, die das Ganze in diesem Artikel aufbereitet haben. Für die Cyberkriminellen war das Geisterkonto so etwas wie ein Jackpot.
Sophos hat die Analyse am 26. Januar 2021 im Beitrag Nefilim Ransomware Attack Uses “Ghost” Credentials veröffentlicht. Ein Opfer hatte das Rapid Response Team von Sophos kontaktiert, weil mehr als 100 seiner Systeme von einem Netfilim-Ransomware-Angriff verschlüsselt worden waren. Die Netfilim-Gruppe verfolgt die Taktik, vor der Verschlüsselung möglichst viele Dateien der Opfer abzuziehen, um diese mit einer Veröffentlichung zu erpressen, falls dieses nicht zahlt.
Die gegenständliche Nefilim Ransomware-Attacke mit mehr als 100 betroffenen Systemen ging auf die Kompromittierung eines nicht überwachten Kontos zurück, das einem drei Monate zuvor verstorbenen Mitarbeiter gehörte, so die Sicherheitsforscher. Die Analyse liest sich aber als Kette an Sicherheitsproblemen beim Opfer.
Citrix-Schwachstellen als Einfallpunkt
Sophos-Forscher Michael Heller, berichtete, dass dieses Opfer über ausgenutzte, gravierender Schwachstellen in der Citrix-Software kompromittiert werden konnte. Die forensische Analyse von Sophos ergab, dass das im Unternehmen installierte Citrix Storefront 7.15 CU3 zum Zeitpunkt des Vorfalls für einen bekannten kritischen Sicherheitsfehler (CVE-2019-11634) und vier hochgradig schwerwiegende Probleme (CVE-2019-13608, CVE-2020-8269, CVE-2020-8270, CVE-2020-8283) anfällig war. Storefront ist ein Unternehmens-App-Store, über den Mitarbeiter genehmigte Anwendungen herunterladen können.
Geisterkonto für den Einstieg
Das Team geht davon aus, dass dies mit ziemlicher Sicherheit der ursprüngliche Einstiegspunkt in das Netzwerk des Opfers war. Über das nicht mehr überwachte, aber unbenutzte Konto des verstorbenen Mitarbeiters erhielten die Cyberkriminellen Zugriff auf ein Administratorkonto. Nach dem erfolgreichen Eindringen über die Citrix-Installation verwendeten sie auch RDP-Logins (Remote Desktop Protocol), um den Fernzugriff auf das ursprüngliche Administratorkonto, das für den Angriff verwendet wurde, aufrechtzuerhalten.
Mimikatz für den Zugriff auf den Jackpot, den DC
Für die laterale Bewegung im Unternehmensnetzwerk nutzten die Angreifer Mimikatz. Mit diesem Tool waren sie in der Lage, die auf dem System gespeicherten Anmeldeinformationen aufzulisten und einzusehen können. Anschließend gelang es, ein Domänenadministratorkonto zu kompromittieren. Damit war der Jackpot geknackt, denn ein Domänenadministrator kann in einem Windows Active Directory Informationen bearbeiten und die Konfiguration von Active Directory-Servern ändern (z.B. neue Benutzer erstellen oder Berechtigungen ändern).
Die Rapid Response-Untersuchung entdeckte PowerShell-Befehle und die Forensiker stellten fest, dass die Nefilim-Ransomware-Binärdateien mithilfe von Windows Management Instrumentation (WMI) über das kompromittierte Domänen-Administratorkonto bereitgestellt wurden. Weiterhin wurden RDP und Cobalt Strike verwendet, um sich seitlich auf mehrere Hosts zu bewegen, und das Netzwerk zu erkunden, heißt es in der Analyse. Die Hacker installierten dann die Dateiübertragungs- und Synchronisierungsanwendung MEGA, um Daten abzuziehen.
Insgesamt waren die Nefilim-Operatoren etwa einen Monat lang im Netzwerk des Opfers, und führten ihre Aktivitäten oft mitten in der Nacht aus, um nicht entdeckt zu werden. Bekannt wurde die Aktion nur, weil die Netfilim-Cyber-Kriminellen abschließend die Ransomware selbst starteten, um die Dateien auf diesen Systemen zu verschlüsseln.