Ransomware vs Infrastruktur (DE)

englische Version

Die Ransomware-Welle, die im Schlepptau des Corona-Chaos seit Wochen Unternehmen weltweit bedroht, schwappt jetzt langsam nach Cyberien Deutschland über; als eines der ersteren großen Opfer hat es am 7.5. den Energieversorger "Technische Werke Ludwigshafen TWL" getroffen, wie
Heidelberger Medien berichten.

Nach dem ursprünglichen Ransomware-Angriff wurden die Daten dann am 11. Mai von der Clop-Gruppe veröffentlicht

 twl

TWL-Angriff in den Medien

utb twl


Update: der ursprüngliche Artikel wurde am 14. Mai veröffentlicht; 6 Wochen später, Ende Juni, haben sich die hier getroffenen Vorhersagen mehr als erfüllt, wie die nachstehenden Screenshots von Leaks, Breaches und zu Verkauf stehenden Zugängen zeigt (BMW, LG, Banken, Payment-Provider etc ...), die eine Auswahl aus den letzten 3 Tage (21.-24. Juni 2020) zeigt; Honda hatte es bereits Anfang Juni erwischt.

 bmw

BMW-Daten zum Verkauf

 payment

Zugang zu einem Payment-Provider zum Verkauf

 payment

LG-Daten zum Verkauf

 bank

Bankdaten zum Verkauf

 uk-city

Zugang zu einer City/Criminal-Investigation-Unit in UK zum Verkauf

 uk-city

 honda

Honda von Ransomware getroffen, Produktionsstillstand

Ransomware-Gangs greifen Infrastruktur direkt an

Neben dem üblichen Angriffsvektor via Spam/Malware-Mails ist seit dem Frühjahr 2020 ein neuer Trend zu erkennen, der von verschiedenen Medien und Analysen bestätigt wird: die Ransomware-Gangs dringen zunehmend entweder über Sicherheitslücken oder via gestohlener/gehackten RDP-Zugängen in Netzwerke ein, und finden in vielen Rechenzentren eine große Auswahl an Zielen.

infra

Ransomware-Angriffe nutzen RDP-Zugänge und Sicherheitslücken

Wir monitoren kontinuierlich die Bedrohungslage für Infrastrukturbetreiber und haben in den ersten Monaten 2020 mehr Security-Bulletins mit kritischen Schwachstellen veröffentlicht, als sonst in einem Jahr, und wir hatten da ungefähr alles dabei; Webserver, ApplicatioNServer, Infrastruktur-Tools, Firewalls, VPN-Gateways ... eine Auswahl:

Auch Microsoft hat diesen Trend bemerkt und in einer Analyse am 28.04. mit einer Reihe von Gegenmaßnahmen veröffentlicht. ( Ransomware groups continue to target healthcare, critical services; here’s how to reduce risk )

infra

MS-Analyse über Angriffsvektoren für Ransomware - Gangs

Weiterhin hat die NSA hat ein Dokument veröffentlicht, in dem analysiert wurde, auf welche Wege sich Angreifer Zugriff auf Netze verschaffen, um dann weitere Aktionen (Daten-Exfiltration, Ransomware) durchzuführen.

infra

Angriffsvektoren für erfolgreiche Netzwerkangriffe, nach Systemen und Lücken

Die Probleme lassen sich wie folgt zusammenfassen:

  • viele Unternehmen haben am Anfang der Corona-Krise überstürzt gehandelt und entweder RDP-Zugänge nach aussen geöffnet oder andere Fehler mit teilweise fatalen Auswirkungen begangen: "Sadly we have seen some orgs drop "domain users" into their VPN groups to scale up WFH. We're discovering more valid creds during brute forcing with generic usernames such as meeting-room, conference, vendor, and other dormant but not disabled accounts."; wir haben bereits im März dazu eine Denkhilfe veröffentlicht

  • Sicherheitsverantwortlichen, denen das Konzept der "externen Angriffsoberfläche" nicht geläufig ist, und die das Argument "unsere Firewall erledigt das" nicht hinterfragen, sind von Sicherheitsvorfällen überrascht, zumal der entsprechenden Überblick fehlt

  • der Patchstand ist häufig ungenügend


Als Resultat blüht im Darknet ein reger Handel mit RDP-Zugängen; wir haben über einen Kooperationspartner Zugriff auf eine Datenbank, in der aktuelle und vergangene Zugänge zu Servern, Services und Systemen verzeichnet sind, die im Darknet gehandelt werden. In der Datenbank sind 2.3 Mio Zugänge auf 870.000 Systemen, wobei seit März ca eine halbe Million dazugekommen sind; soviel, wie sonst in einem Jahr; für Deutschland sind 37.000 IPs verzeichnet; aus dem TWL-Netz (AS 9022) werden 5 Systeme gelistet, für die Zugangsdaten im Darknet verfügbar sind.

SUMMARY for rdp_trading_darknet

IPs       : 876.249
Networks  : 116.752 
ASNs      :  16.819
Countries :     220

Top 10 Countries

Country |  Count   
--------+-----------
     US | 222304 
     CN | 139160 
     BR |  69952 
     DE |  36941 
     IN |  23189 
     GB |  20993 
     FR |  20175 
     ES |  17807 
     CA |  15755 
     IT |  15037 

infra

Zugänge zu TWL-Systeme zum Kauf im Darknet

infra

RDP-Zugänge in einer Darknet-Handelsplattform

infra

Cybercrime-Shop verkauft 43.000 gehackte Server, via ZDNet

Gegenmaßnahmen

Jeder IT-Security-Verantwortliche, dessen Organisation der mehr als eine öffentliche IP betreibt sollte sich des Problems bewußt sein, und kann mit ein paar simplen Maßnahmen Sichtbarkeit herstellen, die Grundlage für Verbesserungen ist:

  • Messen der aktuellen externen Angriffsoberfläche durch eine manuelle Recon oder ein automatisiertes Tool wie Luup (Asset-Discovery und Asset-Management)
  • Identifizieren von möglichen Schwachpunkten, internen oder kritischen Systemen, die nicht für die ganzen Welt verfügbar sein sollten
  • Abstellen der Angriffspunkte
  • GOTO 10: kontinuierliches Monitoring der externen Angriffsoberfläche

Mit diesen einfachen Maßnahmen, die kein großes Invest in neue Hardware, Appliances oder Lösungen erfordert, lassen sich schnelle und effektive Maßnahmen umsetzen, um das Sicherheitsniveau gegen externe Angriffe signifikant zu erhöhen und zu verhindern, der nächste Eintrag auf der Leak-Liste von Ransomware-Gangs zu sein.

Wie teils desaströs die Lage ist, haben wir in unserer Lehrlingsserie Cyberien im Winterschlaf analysiert.

Referenzen

Addendum

  • aktuelle Zahlen (2020-05) von angreifbaren Systemen mit verschiedenen Sicherheitslücken, weltweit
--[ CVE-2020-0796 | MS SMBv3 RCE (SMBGhost) ]------------------------------

Total number of results:    130575



--[ CVE-2019-19781 | Citrix RCE (Shitrix) ]------------------------------

Total number of results:    5819




--[ CVE-2019-1653 | Cisco WAN VPN Router unauth access ]------------------------------

Total number of results:    7332




--[ CVE-2019-0708 | Windows RDP RCE (BlueKeep) ]------------------------------

Total number of results:    386229




--[ CVE-2019-11510 | PulseSecure VPN RCE ]------------------------------

Total number of results:    1226




Fragen? Kontakt: info@zero.bs