{"id":236844,"date":"2020-10-23T16:58:48","date_gmt":"2020-10-23T14:58:48","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=236844"},"modified":"2020-10-26T15:27:34","modified_gmt":"2020-10-26T14:27:34","slug":"franzsische-it-firma-sopra-steria-von-ryuk-ransomware-befallen-zerologon-ausgenutzt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/10\/23\/franzsische-it-firma-sopra-steria-von-ryuk-ransomware-befallen-zerologon-ausgenutzt\/","title":{"rendered":"Französische IT-Firma Sopra Steria von Ryuk-Ransomware befallen, Zerologon ausgenutzt?"},"content":{"rendered":"

[English<\/a>]Die franz\u00f6sische IT-Firma Sopra Steria, an die zum Beispiel gro\u00dfe Teile der IT des National Health Systems (NHS) in Gro\u00dfbritannien \u00fcbertragen wurden, ist Opfer eines Ryuk-Ransomware-Angriffs geworden. Wenn die mir vorliegenden Informationen stimmen, wurde ein Active Directory Dom\u00e4nen-Controller \u00fcber die Zerologon-Schwachstelle \u00fcbernommen, so dass die Ransomware im IT-Netzwerk des Dienstleisters verbreitet werden konnte.<\/p>\n

<\/p>\n

\"\"Sopra Steria<\/a> SA ist eine europ\u00e4ische Management- und Technologieberatung mit Hauptsitz im franz\u00f6sischen Annecy, die im September 2014 aus dem Zusammenschluss der beiden Unternehmen Sopra Group SA und Groupe Steria SCA entstanden ist. Der Sitz der deutschen Landesgesellschaft ist Hamburg. Die Sopra Steria-Gruppe ist in 25 L\u00e4ndern vertreten und besch\u00e4ftigt insgesamt 46.245 Mitarbeiter (Stand: Jahresende 2019). Also kein kleiner Fisch.<\/p>\n

Ryuk-Ransomware-Befall<\/h2>\n

Wie das franz\u00f6sische Medium LeMagIT am 21. Oktober 2020 berichtet<\/a>, muss der Angriff (mutma\u00dflich von der Ryuk-Ransomware) wohl in der Nacht vom 20. auf den 21. Oktober 2020 erfolgt sein. The Register hat es am 22. Oktober 2020 in diesem englischsprachigen Beitrag<\/a> aufgegriffen und schreibt, dass das Unternehmen sich weigerte zu sagen, was genau passiert sei. In einer Meldung<\/a> wird nur der Befall best\u00e4tigt.<\/p>\n

A cyberattack has been detected on Sopra Steria's (Paris:SOP) IT network on the evening of 20th October. Security measures have been implemented in order to contain risks. The Group's teams are working hard for a return to normal as quickly as possible and every effort has been made to ensure business continuity.<\/p><\/blockquote>\n

Sopra Steria is in close contact with its customers and partners, as well as the competent authorities.<\/p><\/blockquote>\n

Die Sopra Steria-Kunden d\u00fcrften alles andere als begeistert \u00fcber den Vorfall sein, liegt die Vermutung doch nahe, dass Kundendaten vor der Verschl\u00fcsselung abgezogen wurden und dann irgendwann \u00f6ffentlich werden.<\/p>\n

Active Directory-Infrastruktur kompromittiert<\/h2>\n

Laut Informationen von The Register gibt es Hinweise, dass die Active Directory-Infrastruktur von Sopra Steria kompromittiert worden ist. Mutma\u00dflich ist es Angreifern gelungen, die Ryuk-Malware einzuschleusen und Dateien zu verschl\u00fcsseln. Das berichtet auch Bleeping Computer in diesem Artikel<\/a>. In einem Nachfolgebeitrag<\/a> von heute berichtet das franz\u00f6sische Medium LeMagIT, dass die Angreifer Cobalt Strike<\/a> verwendet haben, um eine Schwachstelle zu finden und die Ransomware zu verteilen.<\/p>\n

Cobalt Strike<\/a> ist eine Software mit flexiblen Funktionen, um Wirtschaftsspionage auf dem eigenen Netzwerk zu simulieren, Abwehrma\u00dfnahmen zu testen und die eigene Computersicherheit zu erh\u00f6hen. Dazu geh\u00f6ren die Angriffs-Aufkl\u00e4rung, das Eindringen, das Errichten eines stabilen Zugangs mit einer soliden Operationsbasis im Netz des Opfers sowie der anschlie\u00dfende Diebstahl von Daten.<\/p>\n

Cobalt Strike kann Sicherheitsl\u00fccken aufsp\u00fcren, indem ein Red Team, eine unabh\u00e4ngige Gruppe Programmierer, als Gegner auftritt, der keine oder nur geringe Informationen \u00fcber das System und seine Struktur besitzt. Eine Sammlung von Angriffstools ist verf\u00fcgbar,[1] zu den Nachbearbeitungswerkzeugen geh\u00f6rt ein Reportgenerator.<\/p><\/blockquote>\n

Die Verteilung der Ransomware samt Verschl\u00fcsselung muss laut dem franz\u00f6sischen Artikel blitzschnell erfolgt sein. Der Umfang des Befalls ist momentan unklar, da Sopra Sterias IT-Sicherheitsteams unter Zuziehung externer Cyber-Sicherheits-Experten erst mit der Arbeit gestartet ist, den Verlauf und Umfang des Angriffs zu bestimmten.<\/p>\n

Erfolgte ein Angriff \u00fcber Zerologon-Schwachstelle?<\/h2>\n

Inzwischen wurden die zahlreichen Kunden der IT-Firma wohl \u00fcber den Angriff informiert. Dort findet sich wohl ein Hinweis auf die Ryuk-Ransomware und es gibt Hinweise, wie der Angriff abgelaufen ist. LeMagIT zitiert aus dem Schreiben, dass \"die ersten b\u00f6swilligen Angriffe, vor einigen Tagen auftraten\", also wohl vor dem Befall am 20. Oktober 2020. Auch die zum Eindringen angewandten Techniken werden beschrieben:<\/p>\n

Verwendung von PSexec f\u00fcr die laterale Bewegung im Netzwerk, Verwendung von Cobalt Strike f\u00fcr die laterale Bewegung; Verwendung von Transferbits, um die Ryuk-Ransomware (die nur auf Windows-Hosts abzielt) zu installieren; Verwendung von Windows Share (Share$) auf Dom\u00e4nencontrollern, um die Liste der IP-Adressen zu speichern, auf die die Ransomware abzielt.<\/p><\/blockquote>\n

Bei der Angabe Transferbits vermutet LeMagIT, dass damit der Windows Dienst BITS, der Background Intelligent Transfer Service, gemeint sei. Daher stellt LeMagIT die Frage, ob die Angreifer die Zerologon-Schwachstelle f\u00fcr das Eindringen und platzieren der Malware genutzt haben.<\/p>\n

Vor der Zerologon-Schwachstelle und des Risikos einer Domain-\u00dcbernahme hatte ich im Blog-Beitrag Windows Server: Zerologon-Sicherheitsl\u00fccke (CVE-2020-1472) erlaubt Domain \u00dcbernahme<\/a> sowie weiteren Beitr\u00e4ge ausgiebig berichtet. Die US-Beh\u00f6rde f\u00fcr Cybersicherheit und Infrastruktursicherheit (CISA) und hat eine Dringlichkeitsanweisung erlassen, die den US-Regierungsbeh\u00f6rden eine Frist von vier Tagen f\u00fcr die Implementierung eines Windows Server-Patches gegen die Zerologon-Schwachstelle (CVE-2020-1472) einr\u00e4umt (siehe CISA-Warnung: Patcht eure Windows Server gegen CVE-2020-1472 (Zerologon)<\/a>).<\/p><\/blockquote>\n

LeMagIT schreibt, dass dass die Angaben des\u00a0 Sicherheitsteams von Sopra Steria dazu nichts ausf\u00fchre. Aber das Magazin zitiert den Generaldelegierten des Clubs Experts in Information and Digital Security (Cesin), Alain Bouill\u00e9. Dieser habe in einer E-Mail an die Miglieder geschrieben, dass die Infektion mit der Ryuk-Ransomware \u00fcber einen mittels der Schwachstelle CVE-2020-1472 (Zerologon) kompromittierten AD-Controller erfolgt sei. Die Mitglieder des Clubs wurden aufgefordert, so schnell als m\u00f6glich diese Schwachstelle zu schlie\u00dfen.<\/p>\n

Erg\u00e4nzung:<\/strong> Gegen\u00fcber Bleeping Computer best\u00e4tigte<\/a> Sopra Steria die Infektion mit der Ryuk-Ransomware.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nWindows Server: Zerologon-Sicherheitsl\u00fccke (CVE-2020-1472) erlaubt Domain \u00dcbernahme<\/a>
\nCISA-Warnung: Patcht eure Windows Server gegen CVE-2020-1472 (Zerologon)<\/a>
\n0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2<\/a>
\nAchtung: Windows Domain Controller erzeugen pl\u00f6tzlich EventID 5829-Warnungen (11.8.2020)<\/a>
\nWindows 10 V1607: Update KB4571694 erzeugt ID 5827-Events und brickt MMC<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Die franz\u00f6sische IT-Firma Sopra Steria, an die zum Beispiel gro\u00dfe Teile der IT des National Health Systems (NHS) in Gro\u00dfbritannien \u00fcbertragen wurden, ist Opfer eines Ryuk-Ransomware-Angriffs geworden. Wenn die mir vorliegenden Informationen stimmen, wurde ein Active Directory Dom\u00e4nen-Controller \u00fcber die … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4715,4328],"class_list":["post-236844","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/236844","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=236844"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/236844\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=236844"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=236844"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=236844"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}