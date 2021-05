Anfang dieser Woche, als die Ransomware-Gruppe DarkSide den US-Pipeline-Riesen Colonial Pipeline zwang, Lösegeld in Höhe von 5 Millionen US-Dollar für die Wiederherstellung des Betriebs zu zahlen, zog sie auch ein Bitcoin-Lösegeld in Höhe von 4,4 Millionen US-Dollar von Brenntag., Einem deutschen Chemievertriebsunternehmen.

Gemäß Bleeping ComputerBrenntag hatte keine andere Wahl, als das Lösegeld zu zahlen, nachdem die Ransomware-Gruppe die nordamerikanische Abteilung des Unternehmens ins Visier genommen, Unternehmensgeräte verschlüsselt und bis zu 150 GB Daten, einschließlich unverschlüsselter Dateien, gestohlen hatte. Die Gruppe hätte danach Zugang zum Brenntag North America-Netzwerk gehabt Kauf gestohlener Anmeldeinformationen von einer anderen Entität.

Brenntag mit Sitz in Essen ist eines der weltweit größten Chemievertriebsunternehmen, das in 77 Ländern tätig ist und mehr als 17.000 Mitarbeiter beschäftigt. Das Unternehmen verfügt über mehr als 190 Vertriebsstandorte in den USA und Kanada und hat rund 40.000 Kunden in der Region. Es ist auch Marktführer in Lateinamerika und erzielte 2019 einen Umsatz von 12,8 Milliarden Euro.

Nach der Verschlüsselung der Geräte und Dateien des Unternehmens forderte die Ransomware-Gruppe DarkSide ein Lösegeld von 133,65 Bitcoin (4,58 Millionen Pfund), stimmte jedoch nach langwierigen Verhandlungen mit dem Unternehmen schließlich der Zahlung von 3,12 Millionen Pfund am 11. Mai zu. Fall, hat den Vorfall nicht auf seinen Kundenkontaktseiten veröffentlicht.

Der Vorfall ist ein klassisches Beispiel dafür, warum Unternehmen Benutzeranmeldeinformationen dauerhaft schützen, Anmeldeinformationen regelmäßig zurücksetzen und eine Multi-Faktor-Authentifizierung implementieren müssen, um Benutzer, Geräte und Benutzerkonten vor unbefugtem Zugriff zu schützen. Die Tatsache, dass eine Ransomware-Gruppe gestohlene Anmeldeinformationen verwendet hat, um sich so einfach in das Netzwerk eines globalen Unternehmens zu hacken, zeigt, dass die Verwaltung von Anmeldeinformationen für Unternehmen immer noch keine oberste Priorität hat. Brenntag North America hat die Lektion auf die harte Tour gelernt.

Schlimmer ist, dass selbst Cybersicherheitsunternehmen Verstöße erlitten haben, weil sie den Diebstahl von Benutzeranmeldeinformationen nicht erkennen konnten. Im Jahr 2019 gab der tschechische Antiviren-Dienstleister Avast zu, dass Hacker gestohlene VPN-Anmeldeinformationen verwendet und die fehlende Zwei-Faktor-Authentifizierung ausgenutzt haben, um zwischen dem 14. Mai und dem 23. September desselben Jahres sieben Mal erfolgreich auf sein internes Netzwerk zuzugreifen.

Das betroffene VPN-Konto hatte Domänenadministratorrechte, obwohl der Benutzer, dessen Anmeldeinformationen verwendet wurden, keine Domänenadministratorrechte hatte. Das Unternehmen stellte fest, dass es dem Hacker, der die Anmeldeinformationen gestohlen hat, gelungen ist, seine Berechtigungen zu erhöhen, während er eine öffentliche IP-Adresse verwendet, die außerhalb Großbritanniens gehostet wird.

Im November 2019 ergab eine von ImmuniWeb durchgeführte Studie, dass Hacker mehr als 21 Millionen Fortune 500-Anmeldeinformationen geplündert und mehr als 16 Millionen von ihnen gestohlen und auf Plattformen veröffentlicht wurden. Dark Web-Formulare über einen Zeitraum von zwölf Monaten. 95% der 21 Millionen gestohlenen Anmeldeinformationen waren “unverschlüsselt oder von Angreifern gezwungen und gehackt, eindeutige Passwörter”.

Die Studie ergab auch, dass nur 4,9 Millionen der 21 Millionen gestohlenen Anmeldeinformationen eindeutig waren, was darauf hinweist, dass die weit verbreitete Praxis, dass Mitarbeiter dieselben oder ähnliche Passwörter verwenden, in größeren Unternehmen auf der ganzen Welt immer noch vorhanden ist.

Alle diese gestohlenen Anmeldeinformationen von Fortune 500-Unternehmen wurden mit Ressourcen im TOR-Netzwerk, verschiedenen Webforen, Pastebin, IRC-Kanälen, sozialen Netzwerken, E-Mail-Chats und vielen anderen Orten verknüpft, von denen bekannt ist, dass sie gestohlene oder offengelegte Produkte anbieten, verkaufen oder vertreiben Daten. Sagte ImmuniWeb.

“Diese Zahlen sind sowohl frustrierend als auch alarmierend. Die enorme Menge an gestohlenen Anmeldeinformationen, die im Dark Web verfügbar sind, ist ein modernes Klondike für die Verbreitung von Bedrohungsakteuren, die nicht einmal in APTs investieren müssen. Kostspielig und zeitaufwändig. Mit etwas Beharrlichkeit Schleichen Sie sich leicht unbemerkt von Sicherheitssystemen ein und greifen Sie zu, was immer sie wollen. Schlimmer noch, viele solcher Eingriffe sind aufgrund fehlender Protokolle oder der Kontrolle über Verstöße technisch nicht untersuchbar [third-party] », Erklärte Ilia Kolochenko, CEO und Gründerin von ImmuniWeb.

„Im Zeitalter der Cloud, der Container und des kontinuierlichen Outsourcings kritischer Geschäftsprozesse haben die meisten Unternehmen die Sichtbarkeit und damit die Kontrolle über ihre digitalen Assets und Daten verloren. Sie können nicht schützen, was Sie nicht sehen können, genauso wie Sie Daten nicht schützen können, wenn Sie dies nicht tun. Ich weiß nicht, wo es gespeichert ist und wer darauf zugreifen kann. Risiken von Drittanbietern verschlechtern die Situation enorm, indem sie dem Spiel noch gefährlichere Unbekannte hinzufügen.

“Ein gut durchdachtes, kohärentes und ganzheitliches Programm für Cybersicherheit und Risikomanagement sollte nicht nur Ihr Unternehmen, sondern auch Dritte kontinuierlich und datengesteuert einbeziehen”, fügte er hinzu.