Sophos beobachtet neues Vorgehen bei Ransomware-Bande Memento
Ransomware kann je nach Sicherheitsmassnahmen nicht beliebige Dateien verschlüsseln, wie auch die Ransomware-Bande "Memento" feststellte. Sie war aber einfallsreich: Sie kopierte die Originaldaten, verschlüsselte die Kopie und löschte die Originale. Die Kriminellen bewegten sich bereits Monate zuvor im Netzwerk ihres Opfers.
Sophos hat bei einem Cyberangriff der Ransomware-Bande "Memento" ein neues Vorgehen beobachtet. Wie der Anbieter von Cybersecurity-Lösungen mitteilt, konnten die Kriminellen die Zieldaten des angegriffenen Unternehmens mit ihrer Ransomware nicht verschlüsseln. Deshalb kopierten sie unverschlüsselte Dateien in passwortgeschützte Archive, verschlüsselten das Passwort, löschten die Originaldateien und verlangten danach ein Lösegeld.
"Von Menschen gesteuerte Ransomware-Angriffe sind selten eindeutig und linear", sagt Sean Gallagher, Senior Threat Researcher bei Sophos. "Angreifer nutzen Gelegenheiten spontan, wenn sie sie finden oder manchmal unterlaufen ihnen auch Fehler. Dann ändern sie ihre Taktik 'on-the-fly', denn wenn es ihnen gelingt, in das Netzwerk eines Ziels einzudringen, wollen sie auf keinen Fall mit leeren Händen dastehen. Der Memento-Angriff ist ein gutes Beispiel dafür und erinnert uns daran, dass es wichtig ist, für Sicherheit auf allen Ebenen zu sorgen."
Das betroffene Unternehmen kam in diesem Fall glimpflich davon. Es konnte seine Daten ohne die Hilfe von Memento wieder herstellen.
Sicherheitslücke wurde von mehreren Angreifern ausgenutzt
Gemäss Mitteilung bewegten sich die Kriminellen bereits mehrere Monate im Netzwerk des Opfers, erkundeten es und verschafften sich interaktive Verbindungen zum angegriffenen Server. Zugang hätten sie sich über eine Schwachstelle in VMware vSphere verschafft. Während ihrer mehrmonatigen Aktion nutzten zwei andere Angreifer dieselbe Lücke aus, um Kryptominer zu installieren.
"Wir haben das schon oft erlebt: Wenn Sicherheitslücken im Internet bekannt und nicht gepatcht werden, nutzen Angreifer sie schnell aus und so tummeln sich plötzlich verschiedene Hackergruppen im selben Netzwerk", sagt Gallagher. "Je länger die Schwachstellen nicht behoben werden, desto mehr Angreifer werden auf sie aufmerksam."
Tipps für mehr Schutz vor Cyberkriminalität
In der Mitteilung gibt Sophos eine Reihe von Empfehlungen, damit Unternehmen sich besser vor Cyberangriffen schützen können. Die zwei Ratschläge auf strategischer Ebene lauten:
Mehrschichtiger Schutz
Kombination aus menschlicher Expertise und Technologie
Auf tagtäglicher taktischer Ebene empfiehlt Sophos:
Warnungen zuverlässig checken
Sichere Passwörter verwenden. Wie ein Passwort sicher wird, können Sie hier nachlesen.
Multifaktor-Authentifizierung (MFA)
Sperrung zugänglicher Dienste
Auf Segmentierung und Zero Trust setzen
Offline-Backups von Informationen und Anwendungen. Welche Rolle das alte Speichermedium Tape dabei spielen kann, erfahren Sie hier.
Inventarisierung von Vermögenswerten und Konten
Korrekte Konfiguration der Sicherheitsprodukte
Überprüfung von Active Directory (AD)
Alles patchen
Wie der IT-Arbeitsplatz von morgen gemäss HP aussieht
Endpoint Detection and Response als Managed Service nutzen
Peoplefone lanciert Mobile-Abos für Geschäftskunden
Umfassende Cybersicherheit für OT-Umgebungen
TIM und Veritas: Der ultimative Schutz vor Ransomware-Angriffen für Schweizer Unternehmen
Die wichtigsten Werkzeuge für die Abwehr
"Wir suchen Partner, die wachsen möchten"
Logpoint hat neu zwei Partnerprogramme
Update: Österreichischer Investor übernimmt Devolo
