{"id":276054,"date":"2022-12-16T16:04:17","date_gmt":"2022-12-16T15:04:17","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=276054"},"modified":"2024-06-30T15:50:29","modified_gmt":"2024-06-30T13:50:29","slug":"ransomware-bei-continental-infektion-ber-browser-download-eines-mitarbeiters","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/12\/16\/ransomware-bei-continental-infektion-ber-browser-download-eines-mitarbeiters\/","title":{"rendered":"Ransomware bei Continental: Infektion über Browser-Download eines Mitarbeiters"},"content":{"rendered":"

\"SicherheitIm August 2022 fand ein Ransomware-Angriff auf den Automobilzulieferer Continental statt, bei dem erhebliche Datenmengen abgezogen wurden. Verantwortlich war die Lockbit-Ransomware-Gang, die im Anschluss an den Angriff mit der Ver\u00f6ffentlichung von abgezogenen Daten drohte. Aber wie gelangten die Angreifer in das IT-Netzwerk von Continental? Meist bleibt das ja ein Geheimnis der Opfer. Zumindest ist jetzt bekannt geworden, dass der Angriff mit dem Browser-Download eines Mitarbeiters seinen Ursprung nahm.<\/p>\n

<\/p>\n

Was bisher bekannt war<\/h2>\n

\"\"Laut einer Pressemitteilung des international t\u00e4gigen Automobilzulieferers Continental vom 24. August 2022 gab es Anfang August 2022 einen Cyberangriff. Dabei sind die Angreifer in Teile der IT-Systeme von Continental eingedrungen. In der Pressemitteilung gab sich das Unternehmen noch gewiss, den Angriff entdeckt und abgewehrt zu haben.<\/p>\n

Es hie\u00df, dass der Gesch\u00e4ftsbetrieb von Continental ist zu keinem Zeitpunkt beeintr\u00e4chtigt worden sei und man die volle Kontrolle \u00fcber seine IT-Systeme behalten habe. Die IT-Systeme von Dritten seien nach dem damaligen Kenntnisstand nicht betroffen gewesen. Aber man hat Unterst\u00fctzung von externen Cybersecurity-Experten f\u00fcr eine Untersuchung des Vorfalls hinzugezogen. Ich hatte im Beitrag Cyberangriff auf Continental und Richard Wolf Medizintechnik<\/a> berichtet.<\/p>\n

Das Handelsblatt berichtete, dass das Unternehmen Opfer der Lockbit-Gruppe geworden sei, die bis zu 40 TByte an Daten bei diesem Angriff abgezogen haben und mit Ver\u00f6ffentlichung drohten, wenn nicht gezahlt werde. Im Blog-Beitrag LockBit 3.0 Angriff auf Continental \u2013 Hinweise von Blackberry<\/a> hatte ich einige Hinweise zu diesem Cyberangriff gegeben. Bei Continental kam Lockbit 3.0 zum Einsatz, ist eine Ransomware as a Service (RaaS) Gruppe, die von der Entwicklung der Ursprungsversion bis hin zur aktuellen Version 3.0 mehrfach Modifikationen durchlaufen hat. Die neueste Version enth\u00e4lt Teile von Funktionen aus fr\u00fcheren Ransomware-Familien wie BlackMatter und DarkSide oder BlackCat.<\/p>\n

Ziel der Gruppe ist es, Unternehmen mit der Ver\u00f6ffentlichung von erbeuteten Daten zu drohen und dabei die DSGVO anzuf\u00fchren. Vom Unternehmen selbst gibt es eine neue Stellungnahme<\/a> vom 12. Dezember 2022, wo eingestanden wird, dass \"die Angreifer trotz etablierter Sicherheitsvorkehrungen auch einen Teilbestand an Daten aus betroffenen IT-Systemen entwenden konnten\".<\/p>\n

Der Angriff wurde am 4. August 2022 bemerkt, und es gab Gegenma\u00dfnahmen. Am 5. August seien keine Aktivit\u00e4ten der Angreifer mehr bemerkt worden – was wohl nichts hei\u00dft, wenn Daten abgezogen wurden. Lockbit war ja im System und hatte zumindest einen Teil der Datenextraktion a erfolgreich abgeschlossen. Continental gibt an, dass keine Daten verschl\u00fcsselt wurden, der Erstzugriff aber am 1. Juli 2022 erfolgte. Die Angreifer bewegten sich also vier Wochen im System.<\/p>\n

Continental best\u00e4tigt eine Kontaktaufnahme der Lockbit-Gruppe f\u00fcr Mitte September 2022, die aber vom Unternehmen abgebrochen wurde. Die Cyberangreifer boten am 9. November 2022 im Darknet die L\u00f6schung oder den Verkauf der Daten f\u00fcr 50 Mio. US-Dollar an. Diese wurde am 29. November 2022 auf 40 Mio. US-Dollar reduziert. Der Angreifer ver\u00f6ffentlichte am 10. November 2022 eine Liste der Daten, die nach seiner Aussage in seinem Besitz sind. Die abgezogene Datenmenge wird auf \"mehr als\" 40 TByte gesch\u00e4tzt.<\/p>\n

Aber wie erfolgte die Infektion?<\/h2>\n

Die spannende Frage f\u00fcr au\u00dfenstehende Beobachter ist bei solchen Vorf\u00e4llen, wie die Angreifer ins System eindringen konnten? Continental schreibt in seiner Stellungnahme<\/a>, dass erste Erkenntnisse nahe legen, dass sich die Angreifer Zugang zu den Continental-Systemen mittels einer getarnten Schadsoftware verschafft haben, die durch einen Besch\u00e4ftigten ausgef\u00fchrt wurde. War es ein infiziertes Word-Dokument? Eine Phishing Mail, bei der Zugangsdaten abgezogen wurden, oder sonst irgend etwas?<\/p>\n

Das Handelsblatt berichtet in diesem Artikel<\/a> (beschr\u00e4nkter Zugang), dass der IT-Sicherheitschef des Konzerns, Dirk Ahrens, in einem internen Webcast beschrieben habe, wie die Angreifer den Fu\u00df in die IT bekamen. Conti-Mitarbeiter k\u00f6nnen das in der Reihe \"Ask the Expert\" von Dirk Ahrens (und Steffen Brinkmann aus dem Personalbereich) ver\u00f6ffentlichte Video im Intranet ansehen. Das ist wohl Teil der Sensibilisierung der Mitarbeiter im Hinblick auf die IT-Risiken und Aufbereitung des aktuellen Vorfalls.<\/p>\n

Bei heise hat man die Informationen auf Basis des Handesblatt-Artikels aufbereitet<\/a>. Konkret hei\u00dft es, dass ein Continental-Mitarbeiter einen (nicht autorisierten) Browser aus dem Internet heruntergeladen und dann ausgef\u00fchrt habe. Wieso der Mitarbeiter den Browser-Download ausf\u00fchren konnte, geht aus den Berichten nicht hervor (m\u00f6glicherweise war es eine portable Version oder was aus dem Microsoft Store, was mit normalen Benutzerrechten gestartet werden kann). \u00dcber diesen Browser konnten die Cyberkriminellen wohl die Zugangsdaten (Passwort f\u00fcr ein Benutzerkonto bei Continental) abgreifen.<\/p>\n

Erst einmal in Besitz der Benutzerdaten konnte die LockBit-Gruppe sich am Benutzerkonto des Mitarbeiters anmelden und dann schrittweise weitere Zugangsdaten erbeuten. Dabei gelangten die Angreifer wohl an Zugangsdaten wichtigerer weiterer Benutzerkonten. Alles in allem waren die Angreifer \u00fcber vier Wochen \u00fcber die erbeuteten Zugangsdaten im IT-Netzwerk des Unternehmens. Dabei wurden dann die besagten 40 Terabyte an Daten abgezogen. Die Analyse des Vorfalls ergab aber wohl bisher kein Muster f\u00fcr die Zugriffe und den Datenabfluss.<\/p>\n

Dem heise-Artikel entnehme ich, dass das Unternehmen immer noch nicht genau wei\u00df, welche Daten wirklich abgeflossen sind. Es wird analysiert und geschaut, ob auf potentiell kritische Daten zugegriffen wurde – angesichts des langen Zeitraums von 4 Wochen und der abgezogenen Datenmenge von 40 Terabyte wird diese noch eine Weile dauern. Intern tagen wohl noch Krisenst\u00e4be des Unternehmens, um den Vorfall aufzuarbeiten. Der Vorfall zeigt, dass der Teufel im Detail steckt und ein Trick zum Erbeuten der Zugangsdaten ausreichte, um diese fatale Kette in Gang zu setzen.<\/p>\n

Die Continental AG, kurz Conti, ist ein b\u00f6rsennotierter deutscher Automobilzulieferer mit Sitz in Hannover. Der Jahresumsatz betrug 2020 insgesamt 37,72 Milliarden Euro. Die AG hat 190.000 Mitarbeiter weltweit.<\/p><\/blockquote>\n

\u00c4hnliche Artikel:<\/strong>
\nCyberangriff auf Continental und Richard Wolf Medizintechnik<\/a>
\nLockBit 3.0 Angriff auf Continental \u2013 Hinweise von Blackberry<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Im August 2022 fand ein Ransomware-Angriff auf den Automobilzulieferer Continental statt, bei dem erhebliche Datenmengen abgezogen wurden. Verantwortlich war die Lockbit-Ransomware-Gang, die im Anschluss an den Angriff mit der Ver\u00f6ffentlichung von abgezogenen Daten drohte. Aber wie gelangten die Angreifer in … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-276054","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/276054","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=276054"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/276054\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=276054"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=276054"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=276054"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}