Ransomware bei Continental: Infektion über Browser-Download eines Mitarbeiters

Sicherheit (Pexels, allgemeine Nutzung)Im August 2022 fand ein Ransomware-Angriff auf den Automobilzulieferer Continental statt, bei dem erhebliche Datenmengen abgezogen wurden. Verantwortlich war die Lockbit-Ransomware-Gang, die im Anschluss an den Angriff mit der Veröffentlichung von abgezogenen Daten drohte. Aber wie gelangten die Angreifer in das IT-Netzwerk von Continental? Meist bleibt das ja ein Geheimnis der Opfer. Zumindest ist jetzt bekannt geworden, dass der Angriff mit dem Browser-Download eines Mitarbeiters seinen Ursprung nahm.


Anzeige

Was bisher bekannt war

Laut einer Pressemitteilung des international tägigen Automobilzulieferers Continental vom 24. August 2022 gab es Anfang August 2022 einen Cyberangriff. Dabei sind die Angreifer in Teile der IT-Systeme von Continental eingedrungen. In der Pressemitteilung gab sich das Unternehmen noch gewiss, den Angriff entdeckt und abgewehrt zu haben.

Es hieß, dass der Geschäftsbetrieb von Continental ist zu keinem Zeitpunkt beeinträchtigt worden sei und man die volle Kontrolle über seine IT-Systeme behalten habe. Die IT-Systeme von Dritten seien nach dem damaligen Kenntnisstand nicht betroffen gewesen. Aber man hat Unterstützung von externen Cybersecurity-Experten für eine Untersuchung des Vorfalls hinzugezogen. Ich hatte im Beitrag Cyberangriff auf Continental und Richard Wolf Medizintechnik berichtet.

Das Handelsblatt berichtete, dass das Unternehmen Opfer der Lockbit-Gruppe geworden sei, die bis zu 40 TByte an Daten bei diesem Angriff abgezogen haben und mit Veröffentlichung drohten, wenn nicht gezahlt werde. Im Blog-Beitrag LockBit 3.0 Angriff auf Continental – Hinweise von Blackberry hatte ich einige Hinweise zu diesem Cyberangriff gegeben. Bei Continental kam Lockbit 3.0 zum Einsatz, ist eine Ransomware as a Service (RaaS) Gruppe, die von der Entwicklung der Ursprungsversion bis hin zur aktuellen Version 3.0 mehrfach Modifikationen durchlaufen hat. Die neueste Version enthält Teile von Funktionen aus früheren Ransomware-Familien wie BlackMatter und DarkSide oder BlackCat.

Ziel der Gruppe ist es, Unternehmen mit der Veröffentlichung von erbeuteten Daten zu drohen und dabei die DSGVO anzuführen. Vom Unternehmen selbst gibt es eine neue Stellungnahme vom 12. Dezember 2022, wo eingestanden wird, dass "die Angreifer trotz etablierter Sicherheitsvorkehrungen auch einen Teilbestand an Daten aus betroffenen IT-Systemen entwenden konnten".

Der Angriff wurde am 4. August 2022 bemerkt, und es gab Gegenmaßnahmen. Am 5. August seien keine Aktivitäten der Angreifer mehr bemerkt worden – was wohl nichts heißt, wenn Daten abgezogen wurden. Lockbit war ja im System und hatte zumindest einen Teil der Datenextraktion a erfolgreich abgeschlossen. Continental gibt an, dass keine Daten verschlüsselt wurden, der Erstzugriff aber am 1. Juli 2022 erfolgte. Die Angreifer bewegten sich also vier Wochen im System.

Continental bestätigt eine Kontaktaufnahme der Lockbit-Gruppe für Mitte September 2022, die aber vom Unternehmen abgebrochen wurde. Die Cyberangreifer boten am 9. November 2022 im Darknet die Löschung oder den Verkauf der Daten für 50 Mio. US-Dollar an. Diese wurde am 29. November 2022 auf 40 Mio. US-Dollar reduziert. Der Angreifer veröffentlichte am 10. November 2022 eine Liste der Daten, die nach seiner Aussage in seinem Besitz sind. Die abgezogene Datenmenge wird auf "mehr als" 40 TByte geschätzt.

Aber wie erfolgte die Infektion?

Die spannende Frage für außenstehende Beobachter ist bei solchen Vorfällen, wie die Angreifer ins System eindringen konnten? Continental schreibt in seiner Stellungnahme, dass erste Erkenntnisse nahe legen, dass sich die Angreifer Zugang zu den Continental-Systemen mittels einer getarnten Schadsoftware verschafft haben, die durch einen Beschäftigten ausgeführt wurde. War es ein infiziertes Word-Dokument? Eine Phishing Mail, bei der Zugangsdaten abgezogen wurden, oder sonst irgend etwas?

Das Handelsblatt berichtet in diesem Artikel (beschränkter Zugang), dass der IT-Sicherheitschef des Konzerns, Dirk Ahrens, in einem internen Webcast beschrieben habe, wie die Angreifer den Fuß in die IT bekamen. Conti-Mitarbeiter können das in der Reihe "Ask the Expert" von Dirk Ahrens (und Steffen Brinkmann aus dem Personalbereich) veröffentlichte Video im Intranet ansehen. Das ist wohl Teil der Sensibilisierung der Mitarbeiter im Hinblick auf die IT-Risiken und Aufbereitung des aktuellen Vorfalls.


Anzeige

Bei heise hat man die Informationen auf Basis des Handesblatt-Artikels aufbereitet. Konkret heißt es, dass ein Continental-Mitarbeiter einen (nicht autorisierten) Browser aus dem Internet heruntergeladen und dann ausgeführt habe. Wieso der Mitarbeiter den Browser-Download ausführen konnte, geht aus den Berichten nicht hervor (möglicherweise war es eine portable Version oder was aus dem Microsoft Store, was mit normalen Benutzerrechten gestartet werden kann). Über diesen Browser konnten die Cyberkriminellen wohl die Zugangsdaten (Passwort für ein Benutzerkonto bei Continental) abgreifen.

Erst einmal in Besitz der Benutzerdaten konnte die LockBit-Gruppe sich am Benutzerkonto des Mitarbeiters anmelden und dann schrittweise weitere Zugangsdaten erbeuten. Dabei gelangten die Angreifer wohl an Zugangsdaten wichtigerer weiterer Benutzerkonten. Alles in allem waren die Angreifer über vier Wochen über die erbeuteten Zugangsdaten im IT-Netzwerk des Unternehmens. Dabei wurden dann die besagten 40 Terabyte an Daten abgezogen. Die Analyse des Vorfalls ergab aber wohl bisher kein Muster für die Zugriffe und den Datenabfluss.

Dem heise-Artikel entnehme ich, dass das Unternehmen immer noch nicht genau weiß, welche Daten wirklich abgeflossen sind. Es wird analysiert und geschaut, ob auf potentiell kritische Daten zugegriffen wurde – angesichts des langen Zeitraums von 4 Wochen und der abgezogenen Datenmenge von 40 Terabyte wird diese noch eine Weile dauern. Intern tagen wohl noch Krisenstäbe des Unternehmens, um den Vorfall aufzuarbeiten. Der Vorfall zeigt, dass der Teufel im Detail steckt und ein Trick zum Erbeuten der Zugangsdaten ausreichte, um diese fatale Kette in Gang zu setzen.

Die Continental AG, kurz Conti, ist ein börsennotierter deutscher Automobilzulieferer mit Sitz in Hannover. Der Jahresumsatz betrug 2020 insgesamt 37,72 Milliarden Euro. Die AG hat 190.000 Mitarbeiter weltweit.

Ähnliche Artikel:
Cyberangriff auf Continental und Richard Wolf Medizintechnik
LockBit 3.0 Angriff auf Continental – Hinweise von Blackberry


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu Ransomware bei Continental: Infektion über Browser-Download eines Mitarbeiters

  1. Singlethreaded sagt:

    Da haben sich zweimal 4 TB statt 40 TB in den Artikel geschummelt.

    Schade, dass man keine weiteren Informationen bekommt. Ein Browser alleine sollte erstmal nicht automatisch eine Malware darstellen, außer der Browser war selbst durch die Angreifer modifiziert, um auf diesem Wege an Zugangsdaten zu kommen. Dann würde sich aber die Frage stellen wie man den Mitarbeiter zum Download gebracht hat.

  2. Paul sagt:

    Beachte :
    Schuld ist der böse Mitarbeiter, der sich einen Browser installiert hat. Keineswegs die IT die die Clients schlecht ausgestattet hat und die Installation nicht bemerkt haben will (zu wenig gute Leute? )
    Wenn mir der Browser gehört(welcher das?) dann kamn ich ja dem User ein login anbieten, fas wie das von MS aussieht. Wenn man die Weiterbildung vernachlässigt hat, weiß kein einfacher User etwas von singke sign on.

    Da hilft dann nur 2FA auf allen Maschinen.
    Aber das ist nervig.
    Warum die sich mit den Credentials auch anders woanmelden durften ist schleierhaft.
    Und wie sie die Gina. Dll austauschen konnten um neue Klartext Passwörter zu bekommen.
    Vielleicht gibt es ja immer noch Exploits ala "Make me Admin"

    Ich vermute mal, daß wir keine weiteren Infos bekommen werden.

    Und wieder stimmt der Erste und 2. Leisatz
    Das Leben könnte so schön sein, ohne User.
    70 aller Angriffe erfolgen von innen (ach)
    Naiv finde ich die Feststellung, daß die, nach der Entdeckung alle Aktivitäten eingestellt haben und nun alles wieder gut ist…

  3. Bill sagt:

    Im genannten Video ist von einem "mit Malware infiziertem Browser" die Rede, der wohl so schon heruntergeladen wurde. Ich denke da an so vorkonfigurierte Installer für Leute, die nicht wissen, dass man im Github erst auf "tag" klicken muss zum Herunterladen. Ansonsten fällt mir jetzt nur noch Opera ein. Oder ein beigelegtes "Plugin" als Ursache.
    Für mich wäre genauso plausibel, dass dieser Browser dann Passwörter speichern durfte und da ein wichtiges dabei war. Die sind da ja immer sehr zuvorkommend heutzutage. Beim Forefox z.B. kann man die ja einfach samt Schlüssel kopieren und dann andernorts anzeigen.
    Zugriff auf andere Rechner kriegt man dabei aber erstmal nicht – wohl aber auf die ganzen Tools und Middleware und Shares.

  4. Paul sagt:

    Mir stellt sich gerade die Frage
    Fällt das nicht auf wenn ein Kollege sich plötzlich mehrfach anmeldet, zu unüblichen Zeiten und unüblichen Tastenanschlägen an üblichen Rechnern?

    Ich war mal auf einer unix Büchse als root angemeldet und staunte nicht schlecht, als plötzlich ein 2. User mit der ID 0 eingeloggt war, namens "toor".
    Ein User hatte sich diesen Account in einem unbeobachtetem Moment selbst eingerichtet.

    Mei, klar. AD ist unglaublich kompliziert und komplex und mächtig.
    Aber gilt hier nicht dasselbe wie bei Geldanlagen?
    Wenn ich etwas nich wirklich verstehe, dann kaufe ich es nicht?

  5. Majo sagt:

    Zusammenfassung: Versagen der IT-Abteilung des Konzerns auf allen nur vorstellbaren Ebenen.
    1. Keine virtualisierte Internetebene für Anwender.
    2. Download von unseriöser Quelle möglich.
    3. Download und Speicherung einer ausführbaren Datei war möglich.
    4. Ausführung einer ausführbaren Datei war möglich (auch Portables können unterbunden werden!).
    5. Das Auslesen gespeicherter Passwörter war möglich.
    6. Das Ausleiten des ausgespähten Passwortes war möglich.
    7. Das Einloggen unter Verwendung des ausgespähten Passwortes war möglich.
    8. Offensichtlich war/ist keine MFA eingerichtet (gewesen), weder von extern noch intern.
    9. Unautorisierte Netzwerkaktivitäten wurden nicht detektiert.
    10. Augenscheinlich war/ist keine Segmentierung eingerichtet (gewesen).
    11. 40 TB Daten konnten unbemerkt gesammelt werden.
    12. 40 TB!!!!! Daten konnten unbemerkt ausgeleitet werden.
    13. Monitoring scheint nicht existent.
    14. Selbst nach dem Bekennerschreiben im Internet wähnt man sich offensichtlich in Sicherheit und glaubt an einen Bluff.
    15. Peinliche Öffentlichkeitsarbeit nach Veröffentlichung der ausgespähten Samples.

    Die grobe Zusammenfassung wirft die Frage auf, ob die verantwortlichen Administratoren jemals von Ransomware gehört hatten. All diese Punkte sind seit Jahren bekannt, nur waren den IT-Verantwortlichen die Gegenmaßnahmen offenbar unbekannt. Ich empfehle die fristlose Kündigung wegen fachlicher Überforderung und nachträglich die kritische Prüfung und Verifizierung der Lebensläufe der Admins.

    • R.S. sagt:

      16: Die konnten wohl fast 5 Wochen aktiv sein!
      Wenn das in der Zeit nicht auffällt, hat da die ganze Truppe ganz tief gepennt!
      17: Anscheinend hatten die Accounts auch keinerlei Beschränkungen bzgl. Zeit, in der die sich einloggen können.
      18: Anscheinend hatten die Accounts auch keine Beschränkung bzgl. der PCs, von denen sich eingeloggt werden kann.

      Ein Mitarbeiter z.B. aus der Konstruktion darf sich z.B. nie mit seinem Account auf einem PC in der Verwaltung einloggen können.

      Und bzgl. der Zugriffsrechte hat man auch wohl gepennt.
      Z.B. braucht selbst ein Domänen-Admin keine Leserechte auf z.B. Daten der Konstruktion, Verwaltung, Buchhaltung, etc.

  6. Steve sagt:

    Mein Kumpel war mal in der SW-Entwicklung bei Conti.
    Er war auf seinem Arbeitsnotebook Admin und die private Nutzung war ausdrücklich erlaubt. Dementsprechend hatte er da etliche SW selbst installiert.
    Im Vergleich mit den zugenagelten Kisten in meiner Firma war das natürlich toll, aber Cybersecurity geht anders.
    Wenn das bei Conti auch nur annähernd immer noch so war, wie bei meinem Kumpel damals, wundert mich aber nix. Das war dann nur eine Frage der Zeit, bis da jemand mal einbricht.

    • Maik sagt:

      mich interessiert viel mehr ob bei den Sicherheitlücken und Fehlern die gemacht worden sind, der Conti Mitarbeieter auf Grund eines Immateriellen Schaden Schadensforderungen stellen kann?

Schreibe einen Kommentar zu Maik Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.