Französische IT-Firma Sopra Steria von Ryuk-Ransomware befallen, Zerologon ausgenutzt?

[English]Die französische IT-Firma Sopra Steria, an die zum Beispiel große Teile der IT des National Health Systems (NHS) in Großbritannien übertragen wurden, ist Opfer eines Ryuk-Ransomware-Angriffs geworden. Wenn die mir vorliegenden Informationen stimmen, wurde ein Active Directory Domänen-Controller über die Zerologon-Schwachstelle übernommen, so dass die Ransomware im IT-Netzwerk des Dienstleisters verbreitet werden konnte.


Anzeige

Sopra Steria SA ist eine europäische Management- und Technologieberatung mit Hauptsitz im französischen Annecy, die im September 2014 aus dem Zusammenschluss der beiden Unternehmen Sopra Group SA und Groupe Steria SCA entstanden ist. Der Sitz der deutschen Landesgesellschaft ist Hamburg. Die Sopra Steria-Gruppe ist in 25 Ländern vertreten und beschäftigt insgesamt 46.245 Mitarbeiter (Stand: Jahresende 2019). Also kein kleiner Fisch.

Ryuk-Ransomware-Befall

Wie das französische Medium LeMagIT am 21. Oktober 2020 berichtet, muss der Angriff (mutmaßlich von der Ryuk-Ransomware) wohl in der Nacht vom 20. auf den 21. Oktober 2020 erfolgt sein. The Register hat es am 22. Oktober 2020 in diesem englischsprachigen Beitrag aufgegriffen und schreibt, dass das Unternehmen sich weigerte zu sagen, was genau passiert sei. In einer Meldung wird nur der Befall bestätigt.

A cyberattack has been detected on Sopra Steria's (Paris:SOP) IT network on the evening of 20th October. Security measures have been implemented in order to contain risks. The Group's teams are working hard for a return to normal as quickly as possible and every effort has been made to ensure business continuity.

Sopra Steria is in close contact with its customers and partners, as well as the competent authorities.

Die Sopra Steria-Kunden dürften alles andere als begeistert über den Vorfall sein, liegt die Vermutung doch nahe, dass Kundendaten vor der Verschlüsselung abgezogen wurden und dann irgendwann öffentlich werden.

Active Directory-Infrastruktur kompromittiert

Laut Informationen von The Register gibt es Hinweise, dass die Active Directory-Infrastruktur von Sopra Steria kompromittiert worden ist. Mutmaßlich ist es Angreifern gelungen, die Ryuk-Malware einzuschleusen und Dateien zu verschlüsseln. Das berichtet auch Bleeping Computer in diesem Artikel. In einem Nachfolgebeitrag von heute berichtet das französische Medium LeMagIT, dass die Angreifer Cobalt Strike verwendet haben, um eine Schwachstelle zu finden und die Ransomware zu verteilen.

Cobalt Strike ist eine Software mit flexiblen Funktionen, um Wirtschaftsspionage auf dem eigenen Netzwerk zu simulieren, Abwehrmaßnahmen zu testen und die eigene Computersicherheit zu erhöhen. Dazu gehören die Angriffs-Aufklärung, das Eindringen, das Errichten eines stabilen Zugangs mit einer soliden Operationsbasis im Netz des Opfers sowie der anschließende Diebstahl von Daten.

Cobalt Strike kann Sicherheitslücken aufspüren, indem ein Red Team, eine unabhängige Gruppe Programmierer, als Gegner auftritt, der keine oder nur geringe Informationen über das System und seine Struktur besitzt. Eine Sammlung von Angriffstools ist verfügbar,[1] zu den Nachbearbeitungswerkzeugen gehört ein Reportgenerator.

Die Verteilung der Ransomware samt Verschlüsselung muss laut dem französischen Artikel blitzschnell erfolgt sein. Der Umfang des Befalls ist momentan unklar, da Sopra Sterias IT-Sicherheitsteams unter Zuziehung externer Cyber-Sicherheits-Experten erst mit der Arbeit gestartet ist, den Verlauf und Umfang des Angriffs zu bestimmten.

Erfolgte ein Angriff über Zerologon-Schwachstelle?

Inzwischen wurden die zahlreichen Kunden der IT-Firma wohl über den Angriff informiert. Dort findet sich wohl ein Hinweis auf die Ryuk-Ransomware und es gibt Hinweise, wie der Angriff abgelaufen ist. LeMagIT zitiert aus dem Schreiben, dass "die ersten böswilligen Angriffe, vor einigen Tagen auftraten", also wohl vor dem Befall am 20. Oktober 2020. Auch die zum Eindringen angewandten Techniken werden beschrieben:

Verwendung von PSexec für die laterale Bewegung im Netzwerk, Verwendung von Cobalt Strike für die laterale Bewegung; Verwendung von Transferbits, um die Ryuk-Ransomware (die nur auf Windows-Hosts abzielt) zu installieren; Verwendung von Windows Share (Share$) auf Domänencontrollern, um die Liste der IP-Adressen zu speichern, auf die die Ransomware abzielt.

Bei der Angabe Transferbits vermutet LeMagIT, dass damit der Windows Dienst BITS, der Background Intelligent Transfer Service, gemeint sei. Daher stellt LeMagIT die Frage, ob die Angreifer die Zerologon-Schwachstelle für das Eindringen und platzieren der Malware genutzt haben.

Vor der Zerologon-Schwachstelle und des Risikos einer Domain-Übernahme hatte ich im Blog-Beitrag Windows Server: Zerologon-Sicherheitslücke (CVE-2020-1472) erlaubt Domain Übernahme sowie weiteren Beiträge ausgiebig berichtet. Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) und hat eine Dringlichkeitsanweisung erlassen, die den US-Regierungsbehörden eine Frist von vier Tagen für die Implementierung eines Windows Server-Patches gegen die Zerologon-Schwachstelle (CVE-2020-1472) einräumt (siehe CISA-Warnung: Patcht eure Windows Server gegen CVE-2020-1472 (Zerologon)).

LeMagIT schreibt, dass dass die Angaben des  Sicherheitsteams von Sopra Steria dazu nichts ausführe. Aber das Magazin zitiert den Generaldelegierten des Clubs Experts in Information and Digital Security (Cesin), Alain Bouillé. Dieser habe in einer E-Mail an die Miglieder geschrieben, dass die Infektion mit der Ryuk-Ransomware über einen mittels der Schwachstelle CVE-2020-1472 (Zerologon) kompromittierten AD-Controller erfolgt sei. Die Mitglieder des Clubs wurden aufgefordert, so schnell als möglich diese Schwachstelle zu schließen.


Anzeige

Ergänzung: Gegenüber Bleeping Computer bestätigte Sopra Steria die Infektion mit der Ryuk-Ransomware.

Ähnliche Artikel:
Windows Server: Zerologon-Sicherheitslücke (CVE-2020-1472) erlaubt Domain Übernahme
CISA-Warnung: Patcht eure Windows Server gegen CVE-2020-1472 (Zerologon)
0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2
Achtung: Windows Domain Controller erzeugen plötzlich EventID 5829-Warnungen (11.8.2020)
Windows 10 V1607: Update KB4571694 erzeugt ID 5827-Events und brickt MMC


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Ransomware, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.