{"id":291146,"date":"2024-01-29T12:59:05","date_gmt":"2024-01-29T11:59:05","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=291146"},"modified":"2024-06-12T23:51:54","modified_gmt":"2024-06-12T21:51:54","slug":"ransomware-bei-kommunal-it-dienstleister-sdwestfalen-it-nachlese-it-forensik-bericht-teil-2","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/01\/29\/ransomware-bei-kommunal-it-dienstleister-sdwestfalen-it-nachlese-it-forensik-bericht-teil-2\/","title":{"rendered":"Ransomware bei Kommunal IT-Dienstleister Südwestfalen-IT (SIT): Nachlese IT-Forensik-Bericht Teil 2"},"content":{"rendered":"

\"SicherheitIm Beitrag Ransomware bei Kommunal IT-Dienstleister S\u00fcdwestfalen-IT: Nachlese IT-Forensik-Bericht Teil 1<\/a> hatte ich ja skizziert, wie die Ransomware-Gruppe Akira bei ihrem Angriff vom Oktober 2023 auf die S\u00fcdwestfalen IT (SIT) vorgegangen ist, um per VPN in das Netzwerk des Kommunal-IT-Dienstleisters einzudringen.\u00a0 In Teil 2 gehe ich auf Fragen ein, die sich aus dem weiteren Verlauf des Angriffs ergeben. So liefert der Forensik-Bericht Hinweise, was weiter bei der SIT schief lief, und warum die gro\u00dfes Gl\u00fcck hatten, dass vermutlich keine Daten abgezogen und nur Systeme innerhalb einer Dom\u00e4ne verschl\u00fcsselt wurden.<\/p>\n

<\/p>\n

Vorgehensweise von Akira best\u00e4tigt<\/h2>\n

\"\"Geht man in Quellen wie diesen Sophos-Bericht<\/a> oder diesen Trellix-Artikel<\/a>, die sich mit den Aktivit\u00e4ten der seit Anfang 2023 auftretenden Ransomware-Gruppe Akira befassen, werden die Erkenntnisse aus dem Beitrag Ransomware bei Kommunal IT-Dienstleister S\u00fcdwestfalen-IT: Nachlese IT-Forensik-Bericht Teil 1<\/a> best\u00e4tigt. Die h\u00e4ufigste Art des Erstzugriffs, die von Akira-Ransomware-Akteuren bisher genutzt wurde, ist die unbefugte Nutzung von VPN-Zug\u00e4ngen durch kompromittierte Konten ohne Multi-Faktor-Authentifizierung (MFA). In der Regel beobachtete Sophos, dass Akira-Akteure speziell auf Cisco VPN-Produkte ohne aktivierte MFA abzielten, wie z.B. Cisco ASA SSL VPN oder Cisco AnyConnect.<\/p>\n

Neben dem Fehlen von MFA nutzen Akira-Akteure auch bekannte Schwachstellen in der VPN-Software selbst aus. Im SIT-Fall vermutlich die Sicherheitsl\u00fccke CVE-2023-20269 im Cisco ASA des Unternehmens aus, um eine nicht autorisierte VPN-Sitzung mit Fernzugriff auf die Infrastruktur des Opfers aufzubauen. Aber auch das Abfischen von Zugangsdaten per Phishing oder der Aufkauf von geleakten Zugangsdaten im Darknet sowie Brute-Force-Angriffe auf Konten ohne 2FA geh\u00f6ren zum Repertoire der Gruppe. Im Beitrag Wenn Ransomware-Gruppen Sicherheitstipps geben<\/a> habe ich Sicherheitstippe der Gruppe gegen\u00fcber einem (zahlenden) Opfer aufgelistet.<\/p>\n

Alle diese Informationen passen genau auf die Erkenntnisse des Akira-Angriffs auf die S\u00fcdwestfalen IT. Ob eine Multifaktor-Authentifizierung (2FA) der VPN-Zug\u00e4nge den Angriff verhindert h\u00e4tte, bleibt unklar. Fefe weist in diesem Beitrag<\/a> mit Recht darauf hin, dass sich 2FA ebenfalls aushebeln l\u00e4sst. Das w\u00e4re durch kompromittierte Mitarbeiter-Systeme, 2FA-Fatigue<\/a> oder Abfischen von Zugriffstokens \u00fcber Schwachstellen m\u00f6glich.<\/p>\n

Problem: Fehlende Logs<\/h2>\n

Ein Punkt, der mir beim Lesen des Forensik-Berichts aufgefallen ist, besteht darin, dass zur Analyse vielfach Protokolldateien (logs) fehlten. Das beginnt mit dem Umstand, dass \u00e4ltere Log-Dateien vor dem 6. Oktober 2023 bereits \u00fcberschrieben worden waren (der Angriff wurde ja am 30. Oktober 2023 bemerkt), oder Zugriffe erst gar nicht protokolliert wurden. Hier verweise ich auf meinen erst k\u00fcrzlich im Blog ver\u00f6ffentlichten Artikel Leitfaden zur Konfigurierung der Windows Event-Protokollierung<\/a>. Der Beitrag thematisiert einen Leitfaden des australischen Signals Directorate (ASD) und des Australian Cyber Security Centre (ACSC). Dieser Leitfaden gibt Hinweise f\u00fcr die Konfiguration der Windows-Protokollierung, um mehr Informationen, auch bei Cybervorf\u00e4llen zu bekommen.<\/p>\n

Sicherheitssoftware und Virenscanner scheitern<\/h2>\n

Viele Stellen verlassen sich darauf, dass vorhandene Sicherheitssoftware und Virenscanner wie der Microsoft Defender einen Angriff erkennen und stoppen. Schlagworte wie Intrusion Detection, Ransomware-Protection etc. machen die Runde. In der Forensik-Analyse findet sich ein Hinweis auf \"Symantec-Encryption-Meldungen\", was ich so interpretiere, dass eine Sicherheitsl\u00f6sung von Symantec die Verschl\u00fcsselung zwar bemerkte, aber nicht stoppte, sondern nur protokollierte.<\/p>\n

Auch die \u00fcber 300 fehlgeschlagenen Anmeldeversuche an VPN-Konten binnen kurzer Zeit wurden nicht als Angriff erkannt, sondern nur protokolliert. Bez\u00fcglich Virenschutzl\u00f6sungen ist anzumerken, dass diese oft nutzlos sind. In diesem Sophos-Artikel<\/a> zu Akira findet sich der Hinweis, dass bei Angriffen auf Unternehmen mit Sophos Endpoint-Schutz wiederholt beobachtet wurde, dass die Angreifer versuchten, den Sophos-Schutz zu deinstallieren und\/oder zu deaktivieren, um die Erkennung zu umgehen.<\/p>\n

Im Fall der S\u00fcdwestfalen IT war zwar der Windows Defender als Schutz vor Schadsoftware vorhanden. Aber ein PowerShell-Befehl reichte den mit Administratorrechten operierenden Angreifern, um die Partition des logischen Laufwerk C:\\\u00a0 von Scans auszunehmen. Ab diesem Zeitpunkt war der Defender \"blind\" und die Malware w.exe<\/em> lie\u00df sich im Anschluss unerkannt auf verschiedenen Systemen platzieren.<\/p>\n

Der Dom\u00e4nenadministrator darf alles<\/h2>\n

Die Angreifer waren, nachdem sie \u00fcber VPN-Verbindungen auf das Netzwerk zugreifen konnten, in der Lage, das Konto eines Dom\u00e4nenadministrators zu nutzen. Bereits in Teil 1 hatte ich erw\u00e4hnt, dass das Kennwort f\u00fcr das Konto intra.lan\\Administrator<\/em> vermutlich aus einem Gruppenrichtlinienobjekt (wo es 2014 abgelegt wurde) extrahiert werden konnte. Ein Nachweis l\u00e4sst sich laut Forensik, mangels fehlender Logs oder Spuren, aber nicht f\u00fchren.<\/p>\n

Aus dem Bericht geht hervor, dass beim koordinierten Angriff \u00fcber vier gleichzeitig aufgebaute VPN-Sessions am 29. Oktober 2023 die Angreifer genau wussten, was sie wollten. Eine Minute nach dem Aufbau der VPN-Sitzungen fand der erste RDP-Zugriff unter Verwendung des Benutzers intra.lan\\Administrator<\/em> auf einen Dom\u00e4nencontroller statt.<\/p>\n

Ab da begann sozusagen das \"Gemetzel\" denn die Hacker griffen im Anschluss auf 22 weitere Systeme (\u00fcberwiegend ebenfalls Dom\u00e4nencontroller) zu. Die Analytiker klassifizieren dies als koordiniertes Vorgehen eines l\u00e4nger vorbereiteten Angriffs. Durch das verwendete Konto des Dom\u00e4nen-Administrators gibt es auch keine Spuren im Hinblick den Weg zur auf Rechteauswertung. Der Forensik-Bericht erw\u00e4hnt zwar weitere Schwachstellen, die ebenfalls eine Erh\u00f6hung der Berechtigungen zum Dom\u00e4nen-Administrator erm\u00f6glicht haben k\u00f6nnten. Allerdings haben die Analytiker keine konkreten Anzeichen einer Ausnutzung durch die Akira-Gruppe finden k\u00f6nnen.<\/p>\n

Pech f\u00fcr Akira, Gl\u00fcck f\u00fcr die SIT<\/h2>\n

Was ich aus dem Untersuchungsbericht auch herauslese, ist, dass die S\u00fcdwestfalen IT an einigen Stellen (trotz gravierender M\u00e4ngel) einfach riesiges Gl\u00fcck hatte und der Angriff begrenzt blieb. Der Schaden f\u00fcr die betroffenen Kommunen und der Reputationsverlust der SIT ist zwar immens. Aber die Angreifer von Akira hatten an einigen Stellen einfach Pech bzw. die SIT hatte Gl\u00fcck.<\/p>\n

WinRAR-Aufruf scheiterte – wohl keine Daten abgezogen<\/h3>\n

Normalerweise versuchen Ransomware-Gruppen vor dem Verschl\u00fcsseln Dateien von den Systemen der Opfer abzuziehen, um diese sp\u00e4ter ggf. mit deren Ver\u00f6ffentlichung erpressen zu k\u00f6nnen. Die Forensiker stellten aber fest, dass der Versuch der Angreifer, das Programm WinRAR von einem File-Server aufzurufen, scheiterte. Damit fehlte wohl die M\u00f6glichkeit, Dateien zu kompromittieren und an Server des Angreifers zu \u00fcbertragen. Bei der forensischen Untersuchung und im Nachgang zum Ransomware-Fall wurden bisher keine Hinweise auf abgezogene Daten gefunden – obwohl das nat\u00fcrlich nie mit Sicherheit auszuschlie\u00dfen ist.<\/p>\n

Veeam-Zugangsdaten nicht auslesbar<\/h3>\n

Die Forensiker stellten den Versuch der Angreifer fest, die Zugangsdaten der f\u00fcr Backup-Zwecke verwendeten Veeam-L\u00f6sung per PowerShell auszulesen. Dies h\u00e4tte die M\u00f6glichkeit er\u00f6ffnet, Backups ggf. abzuziehen und im Anschluss die Sicherungen auf dem Opfersystem zu l\u00f6schen. Dieser Versuch der Angreifer scheiterte aber, so dass die SIT \u00fcber nicht infizierte Sicherungskopien vor dem initialen Zugriff vom 18. Oktober 2023 verf\u00fcgt und aus diesen die Nutzersysteme wiederherstellen kann.<\/p>\n

Ransomware ohne Persistenz und nur Teilverschl\u00fcsselung<\/h3>\n

Beim Lesen des Forensik-Berichts sind mir noch einige Sachen aufgefallen, die teilweise ein Gl\u00fccksfall f\u00fcr die SIT waren. So ist es den Akira-Angreifern nicht gelungen, abseits der Domain intra.lan<\/em> auf andere in den Rechenzentren eingerichtete Dom\u00e4nen \u00fcberzuspringen.<\/p>\n

Auch gibt der Bericht an, dass keine Beweise gefunden wurden, dass die Ransomware w.exe <\/em>auf Pertinenz oder die Kommunikation mit Servern der Angreifer ausgelegt war. Die Ransomware wurde auf eine Anzahl Systeme kopiert und dort am 30. Oktober 2023 gestartet, um die befallenen Systeme sowie alle Dateien auf Netzwerkfreigaben nach einem Muster rekursiv \u00fcber alle Ordner zu verschl\u00fcsseln. Die Symantec-Sicherheitsl\u00f6sung protokollierte diesen Vorgang zwar, war aber nicht in der Lage, den Vorgang zu stoppen. Eine Persistenz der Ransomware konnte von den Forensikern keine festgestellt bzw. nachgewiesen werden – der Angriff war wohl auf die reine Verschl\u00fcsselung der Systeme ausgelegt.<\/p>\n

Von den 770 Servern und 4176 Clients der Dom\u00e4ne intra.lan<\/em> wurden lediglich 961 Systeme mit einer Ransomware-Notiz akira_readme.txt<\/em> gefunden. Eine Verteilung der Ransomware per Gruppenrichtlinie scheint nicht stattgefunden zu haben, da sonst mehr Systeme befallen gewesen sein m\u00fcssten. Die verschl\u00fcsselten Systeme dienten aber der Verwaltung und Bereitstellung der Dienste und Fachverfahren in den Kommunen der Kunden, so dass es bereits vor dem Abschalten der Dienste und Trennung vom Internet zu Ausf\u00e4llen kam.<\/p>\n

Im Bericht findet sich zudem die Information, dass die Ransomware eigene Log-Dateien f\u00fchrte und Dateien nur teilweise verschl\u00fcsselte. Dadurch konnten Inhalte von Log-Dateien rekonstruiert werden.<\/p>\n

Angriff durch Menschen bemerkt<\/h3>\n

Der Hinweis in den \u00f6ffentlichen Verlautbarungen, dass der Angriff am 30. Oktober 2023 erfolgte und sofort nach Erkennen gestoppt wurde, ist nicht so ganz richtig – und im wesentlichen den von der Presse verlangten Vereinfachungen geschuldet. Dass die Angreifer bereits seit dem 18. Oktober 2023 im Netzwerk unterwegs waren, hatte ich oben erw\u00e4hnt.<\/p>\n

Mir wurde von einer ungenannt bleiben wollenden Quelle bereits zeitnah im November 2023 berichtet, dass die Ransomware-Infektion am 30. Oktober 2023 erst gegen 2:00 Uhr auffiel, als eine Polizeiabfrage scheiterte, weil nichts mehr beim entsprechenden IT-Dienst ging. Darauf hin wurden die Verantwortlichen der SIT informiert und s\u00e4mtliche Server gegen 6:30 Uhr heruntergefahren, sowie die Verbindungen ins Internet und zu den Kunden in den Kommunen gekappt. Ab diesem Zeitpunkt standen keine Dienste und Fachverfahren der SIT mehr f\u00fcr die Kunden zur Verf\u00fcgung. Diese Zeitangaben finde ich auch so im Forensik-Bericht, was die Zusatzinformationen meiner Quelle nachtr\u00e4glich best\u00e4tigt.<\/p>\n

Der Untersuchungsbericht weist f\u00fcr den 30. Oktober 2023 um 1:35 Uhr das Ende der \"Symantec-Encryption-Meldungen\" au. Ich vermute, dass zu diesem Zeitpunkt die erreichbaren Dateien bereits verschl\u00fcsselt waren. Es waren also Menschen, die den Angriff wegen fehlender Funktionalit\u00e4t bemerkten, und keine Sicherheits-\/\u00dcberwachungsl\u00f6sung.<\/p>\n

Keine Zahlungen und Neustart der SIT<\/h2>\n

Aus dem Bericht geht hervor, dass die Akira-Ransomware-Gruppe in allen Ordnern mit verschl\u00fcsselten Daten Textdateien mit der Aufforderung zur Kontaktaufnahme per Tor, zwecks Verhandlungen \u00fcber eine L\u00f6segeldzahlung, hinterlassen hat. Da die S\u00fcdwestfalen IT aber \u00fcber Backups verf\u00fcgte, die nicht infiziert waren, fand keine Kontaktaufnahme mit Akira statt. \u00dcber die H\u00f6he der L\u00f6segeldforderung gibt es daher naturgem\u00e4\u00df keine Angaben.<\/p>\n

Seit dem 30. Oktober 2023 l\u00e4uft die Analyse des Angriffs und parallel dazu erfolgte der Neuaufbau der Systeme. Erste Fachverfahren stehen f\u00fcr die Kunden in den Kommunen wieder zur Verf\u00fcgung. Beim Neuaufbau werden die Vorschl\u00e4ge der zugezogenen Analysefirma zur besseren Absicherung der IT-Infrastruktur mit ber\u00fccksichtigt.<\/p>\n

Abschlie\u00dfendes Fazit: Bei der Aufarbeitung des Cybervorfall offenbarten sich auch gravierende Schwachstellen in der Infrastruktur des kommunalen IT-Dienstleisters S\u00fcdwestfalen IT, die diesen Angriff \u00fcberhaupt erst erm\u00f6glichten. Ein neuer Gesch\u00e4ftsf\u00fchrer soll ab dem 1. Februar 2024 die Aufarbeitung des Angriffs sowie den Aufbau einer neuen IT-Infrastruktur vorantreiben. Unter dem Strich ist den Betroffenen zwar ein gro\u00dfer Schaden entstanden. Aber die Opfer hatten Gl\u00fcck im Ungl\u00fcck, es h\u00e4tte schlimmer kommen k\u00f6nnen. Und der Umstand, dass der Forensik-Bericht offen gelegt wurde, zeigt den Willen zur Transparenz und erm\u00f6glicht Dritten Lehren aus diesem Vorfall zu ziehen.<\/p>\n

Erg\u00e4nzung:<\/strong> Eine Zusammenfassung der Erkenntnisse habe ich auch bei Golem im Beitrag Vertraulicher Forensik-Bericht offenbart viele Vers\u00e4umnisse<\/a> ver\u00f6ffentlicht.<\/p>\n

Artikelreihe:<\/strong>
\nRansomware bei Kommunal IT-Dienstleister S\u00fcdwestfalen-IT: Nachlese IT-Forensik-Bericht Teil 1<\/a>
\nRansomware bei Kommunal IT-Dienstleister S\u00fcdwestfalen-IT: Nachlese IT-Forensik-Bericht Teil 2<\/a><\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nStillstand nach Cyberangriffen auf Kommunen in S\u00fcdwestfalen und Parkh\u00e4user in Osnabr\u00fcck<\/a>
\nCyberangriff auf S\u00fcdwestfalen IT trifft mindestens 103 Kommunen<\/a>
\nNeues zum Cyberangriff auf S\u00fcdwestfalen IT<\/a>
\nCyberangriff auf S\u00fcdwestfalen IT (SIT): Chaos bei betroffenen Kommunen<\/a>
\nS\u00fcdwestfalen IT (SIT) will bald erste Fachverfahren nach Angriff wieder freischalten<\/a>
\nS\u00fcdwestfalen IT: Wiederanlauf nach Cyberangriff dauert l\u00e4nger; Betreiber werden Vers\u00e4umnisse vorgeworfen<\/a>
\nRansomware bei Kommunal IT-Dienstleister S\u00fcdwestfalen-IT; Stand Januar 2024<\/a><\/p>\n

Cyber-Security II: IT-Planungsrat empfiehlt Kommunal-IT von NIS-2-Richtlinie auszunehmen<\/a>
\nNIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt<\/a><\/p>\n

Schwedisches Rechenzentrum des finnischen Cloud-Anbieter Tietoevry per Akira-Ransomware lahm gelegt<\/a>
\nWarnung vor Schwachstellen; Fortinet, Ivanti und mehr (Januar 2024)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Im Beitrag Ransomware bei Kommunal IT-Dienstleister S\u00fcdwestfalen-IT: Nachlese IT-Forensik-Bericht Teil 1 hatte ich ja skizziert, wie die Ransomware-Gruppe Akira bei ihrem Angriff vom Oktober 2023 auf die S\u00fcdwestfalen IT (SIT) vorgegangen ist, um per VPN in das Netzwerk des Kommunal-IT-Dienstleisters … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-291146","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291146","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=291146"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291146\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=291146"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=291146"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=291146"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}