Lagebericht: Ransomware bei Einrichtungen im Deutschen Forschungsnetz

veröffentlicht am 24.08.2023

Vorfälle in der jüngeren Vergangenheit

Seit dem ersten größeren Ransomwarevorfall an der Universität Gießen im Dezember 2019 hat sich die Bedrohungslage für Einrichtungen im Deutschen Forschungsnetz (DFN) deutlich verändert. Konnte man in den Jahren 2020 und 2021 noch von Einzelfällen größerer Universitäten sprechen (Ruhr-Universität Bochum, TU Berlin), sind seit Sommer 2022 auch mehr und mehr kleine und spezialisierte Einrichtungen betroffen. Den aktuellen Höhepunkt hat das DFN-CERT zum Jahresübergang 2022/2023 gesehen, als im November vier, im Dezember zwei und im Januar fünf neue Vorfälle gemeldet wurden. Interessanterweise haben Länder wie Australien und Deutschland zeitlich ähnliche Trends, was Vorfälle und Verursacher angeht, während die Welle zum Jahreswechsel in Ländern wie den Niederlanden schon überstanden war, wie aus bilateralen Konsultationen mit den Kolleg:innen von AARNet und SURF hervorgegangen ist. Die Tätergruppen scheinen sich also mittlerweile sowohl thematisch als auch regional konsolidiert zu haben.

Tätergruppen

Im universitären Umfeld waren in Deutschland zum Jahreswechsel vor allem die Gruppen “Royal Ransomware” und “Vice Society” aktiv. Zuletzt haben wir zudem die Gruppierungen “Rhysida”, von der angenommen wird, dass sie aus “Vice Society” hervorgegangen ist, und “Black Basta” (ehemals Conti/Ryuk) gesehen. Eine Übersicht über verschiedene Tätergruppen und deren Genese hält CERT Orange CyberDefense auf GitHub aktuell. Die Zugriffe lassen sich beispielsweise durch Überwachung der Leakseiten der Gruppen nachhalten. Hier tauchen allerdings dem aktuellen Geschäftsmodell der Verursacher “Double Extortion”1 folgend nur diejenigen Einrichtungen auf, die sich dazu entschlossen haben, kein Lösegeld zu zahlen. Die Einrichtungen selbst geben meist mit Hinweis auf die polizeilichen Ermittlungen keine oder nur wenige Informationen zum vermuteten Urheber preis, da eine eigenhändige Veröffentlichung etwaige Lösegeldverhandlungen beeinflussen kann. Wir ermutigen die Einrichtungen hier zum Teilen möglichst vieler Daten, die dann in nationalen und internationalen Kooperationen mit anderen Sicherheitsteams diskutiert werden können, um weitere Einrichtungen zu schützen.

Royal Ransomware

Nach Angaben der US-amerikanischen Cybersecurity & Infrastructure Security Agency (CISA) hat sich die “Royal Ransomware”-Gruppe auf Institutionen aus der kritischen Infrastruktur spezialisiert und ist seit September 2022 vermehrt aktiv. Seit November 2022 hat das DFN-CERT vier Vorfälle gezählt, die der Gruppe zugerechnet werden.

Vice Society

Die Gruppe “Vice Society” hat sich laut CISA und Microsoft hauptsächlich auf den Bildungsssektor spezialisiert und ist durch den Zwischenfall an der Hochschule für Angewandte Wissenschaften (HAW) Hamburg zu Weihnachten 2022 auch einer breiten Öffentlichkeit bewusst gemacht worden. Das DFN-CERT hat drei Vorfälle aus November und Dezember 2022 verzeichnet, die dieser Gruppe zugeordnet werden.

Typische Vorgehensweise

Nach aktuellen Erkenntnissen genügt den Angreifern für einen ersten Zugriff ein einzelner kompromittierter Account, wobei (Callback-)Phishing anscheinend zu den bevorzugten Methoden gehört. Zuletzt haben Einrichtungen vermehrt von Brute-Force-Angriffen auf E-Mail-Konten berichtet, bei denen kompromittierte Zugangsdaten aus speziell dafür zusammengestellten Sammlungen durchprobiert werden. Solche Angriffe dürften aufgrund der Sichtbarkeit aber eher auf den Versand von Spam- und Phishing-Mails oder das Sammeln von Daten für sogenannte Initial-Access-Broker abzielen, die erfolgreiche Zugriffe prüfen und gegebenenfalls verkaufen oder anderweitig weiterverbreiten.

Bemerkenswert ist hier, dass diese initialen Zugriffe durch die Einführung von Multi-Faktor-Authentifizierung (MFA) für Fernzugriffe effektiv umgangen werden können. Aktuell diskutieren Sicherheitsforscher darüber, ob die aus der Gruppe “Conti” hervorgegangene Gruppe “Akira” bei Angriffen auf Cisco VPN eine unbekannte Schwachstelle ausnutzt, die den Authentifizierungsmechanismus umgeht. Auch hier hilft der Einsatz von MFA.

Mit passenden Zugangsdaten oder durch ausgenutzte Schwachstellen können sich die Angreifer beispielsweise über RDP – zu Beginn der Pandemie auch vermehrt wegen eines unvollständigen Fixes von CVE-2019-0887 – oder VPN ins Netz der betroffenen Einrichtung einloggen und sich dort umschauen. Im Februar 2023 konnte das DFN-CERT durch Kooperationen mit anderen Sicherheitsteams einen Einblick in die Arbeit der Gruppe “Vice Society” erlangen und hat ein (gekürztes) internes Dokument ausgewertet, in dem die Gruppe offenbar Informationen zu zukünftigen Zielen gesammelt hat. Hier fanden sich Hinweise zu erfolgten Active Directory (AD)- und LDAP-Dumps, zur Anzahl der gesehenen AD-Clients und zum Erfolg der weiteren durchgeführten Aufklärungsarbeiten. In den Wochen oder Monaten nach dem ersten Zugang identifizieren die Angreifer andere Systeme im Netzwerk und versuchen letztlich (gegebenenfalls mit Standardwerkzeugen wie Mimikatz) Zugriff auf das Passwort eines Domain-Admins zu erlangen, um diese Phase des Angriffs durch Exfiltration (auch zu bekannten Cloud-Diensten) und die folgende Verschlüsselung der lokalen Daten zum Abschluss zu bringen.

Reaktion der Einrichtungen

Betroffene Einrichtungen sehen sich nach Detektion der Kompromittierung mit der Frage konfrontiert, welche Dienste abgeschaltet werden müssen, um andere Systeme im Netzwerk zu schützen. In den meisten Fällen entscheiden sich die Einrichtungen, die Kommunikation nach außen an zentraler Stelle zu unterbrochen, um Angreifer aus dem Netzwerk auszusperren und die weitere Exfiltration von Daten zu verhindern. In der Folge bricht häufig auch die Kommunikation der betroffenen Einrichtung nach außen weg: E-Mail und VoIP-Telefonie stehen nicht mehr zur Verfügung, so dass auf private Kommunikationsmittel ausgewichen wird. Davon ist dann auch die sichere Kommunikation zum DFN-CERT betroffen, die auf signierten oder verschlüsselten E-Mails oder zentral hinterlegten, bestätigten Telefonnummern basiert. Dank der Automatischen Warnmeldungen und Schwachstelleninformationen sind plötzlich massiv auftretende Fehlermeldungen zu E-Mail-Zustellungsversuchen bei einzelnen Einrichtungen immer auch ein Auslöser für uns, mit der Einrichtung in Kontakt zu treten und Hilfe anzubieten.

Anfangs sind für die betroffenen Einrichtungen soziale Medien oft der einzig verfügbare Kommunikationskanal nach außen, also auch zu den eigenen Mitarbeitenden und Studierenden. In der Vergangenheit haben sich hier nach dem Vorbild der Universität Gießen spezielle Hashtags eingebürgert, mit denen Betroffene Informationen sichten können (#JLUoffline, #UDEoffline, #HRWoffline, …). Die Presseabteilungen der Einrichtungen sind dann besonders gefordert, um die zahlreichen Anfragen aus Medien und Öffentlichkeit nachhaltig zu beantworten. Einer der ersten Schritte in diese Richtung kann die Einrichtung einer statischen Webseite bei einem externen Hoster sein, über die ständig aktuelle Informationen etwa in Form von Frequently Asked Questions (FAQs) (hier am Beispiel der HS Heilbronn, via archive.is) bereitgestellt werden können. Beim Hosten der Notfallseiten können auch andere Einrichtungen helfen, allerdings haben wir zuletzt häufiger Denial-of-Service- (DoS)-Attacken auf eben solche Seiten gesehen. Hilfsbereite Einrichtungen sollten sich darüber im Klaren sein und die lokalen Regelungen zum DoS-Basisschutz zur Analyse und Abwehr von DDoS-Angriffen prüfen, der Teil der Basisleistungen im Dienst DFN.Security ist.

Durch solche Ausweichseiten wird unter Umständen verhindert, dass einrichtungsinterne Kommunikation von Einzelnen unberechtigt nach außen getragen wird. Offenheit kann auch in dieser Phase ein Schlüsselfaktor zur erfolgreichen Krisenbewältigung sein. Aber erst wenn die Wogen sich schon langsam wieder geglättet haben, ist ein guter Zeitpunkt, um die eigenen Mitarbeitenden und die Öffentlichkeit durch eine Post-Mortem-Analyse (hier am Beispiel des DIPF, via archive.is) für vergleichbare Vorfälle zu sensibilisieren.

Nach der Hektik der ersten Stunden beginnt die oft wochen- und monatelange Arbeit des Wiederaufbaus der betroffenen Infrastruktur. Zunächst müssen koordinierende Elemente wie ein Krisenstab eingerichtet werden, es braucht viele belastbare Freiwillige vor Ort, die mit wenig Informationen (und Schlaf) arbeiten können: die interne Kommunikation muss aufgebaut, der Zugang zu den Räumlichkeiten sichergestellt (Schließanlagen, Wachdienst, …), die Anwesenden mit Essen versorgt werden, und spätestens zum Monatswechsel sollte die Buchhaltung wieder in der Lage sein, Gehälter auszuzahlen. Irgendwann wird sicherlich auch die Frage diskutiert, ob und welche Teile der Beleg- und Studierendenschaft neue Zugangsdaten benötigen, wie so ein Passwortwechsel organisiert werden kann und welche Auswirkungen der Angriff auf föderierte Dienste wie die der DFN-AAI hatte.

Schließlich müssen in der Regel auch neue Sicherheitskonzepte erstellt oder bestehende aktualisiert und im Zweifelsfall die IT-Infrastruktur neu aufgesetzt werden. Auch die Einführung der Multi-Faktor-Authentifizierung für Fernzugriffe sollte thematisiert werden. Aus dem Vorfall zu lernen und beim nächsten Mal alles richtig zu machen, ist sicherlich ein utopischer Anspruch. Aber eine gute Dokumentation während der Vorfallsbearbeitung kann Schwächen im bisherigen Sicherheitskonzept aufzeigen und bei der Erstellung von Notfallautomatismen helfen. Auch diese Informationen können anderen Einrichtungen in einem Post-Mortem helfen, wie die Aufarbeitung des Zwischenfalls der FH Münster in der Vergangenheit gezeigt hat (Link zum Youtube-Kanal der FH-Münster).

Nicht (nur) offensichtliche Checkliste für den Ernstfall

  • Notfallkommunikation über E-Mail, Telefon: Melden Sie sich beim DFN-CERT, um temporär vertrauenswürdige Kommunikationskanäle einzurichten.
  • Logrotation beachten: Sichern Sie Ihre Logdateien, bevor diese wegrotiert werden.
  • Identity-Provider-Logs sichern: Um den Missbrauch kompromittierter Konten untersuchen zu können, sichern Sie auch Ihre IdP-Logs.
  • Hinweis zum Vorfall an die AAI: Bei Sicherheitsvorfällen, die auch andere Föderationsteilnehmer betreffen könnten, melden Sie sich beim Sicherheitskontakt der DFN-AAI.
  • Netflows sichern, falls vorhanden: Sichern Sie Ihre Netflows, bevor diese wegrotiert werden.
  • FAQ-Seite einrichten: Behalten Sie die Kontrolle über die öffentlich bekannten Information und entlasten Sie Ihre Verwaltung durch die schnelle Bereitstellung und häufige Aktualisierung einer Notfallwebseite.

Unterstützung durch das DFN-CERT

Prävention

Über das DFN.Security-Portal kann jede Einrichtung allgemeine sowie speziell auf die Netzbereiche und Domains der Einrichtung abgestimmte sicherheitsrelevante Informationen abrufen. Die Netzbereiche und Kontakte können durch die Einrichtungen selbst so konfiguriert werden, dass die Informationen direkt dem richtigen Ansprechpartner zugestellt werden. Hier besteht auch die Möglichkeit, Telefonnummern und Notfallkontaktdaten (über das Datenfeld ‘Kommentare’) zu hinterlegen. Es ist unerlässlich, dass diese Daten aktuell gehalten werden.

Über die Schwachstelleninformationen (hier das öffentliche Archiv mit eingeschränkten Informationen) werden Einrichtungen beim Bekanntwerden neuer Schwachstellen umgehend benachrichtigt und mit Informationen zu Sicherheitsupdates sowie anderen Mitigationsmöglichkeiten versorgt. Im ersten Halbjahr 2023 haben wir fast 1700 Advisories mit unterschiedlichen Zusammenstellungen von Schwachstellen an Portalbenutzer verschickt, davon mehr als 250 mit kritischen Schwachstellen (CVSS-Score >= 9.0), die oft ohne Authentifizierung aus der Ferne ausgenutzt werden können.

Ein weiterer wichtiger Dienst sind die Automatischen Warnmeldungen, mit denen wir über potentielle Probleme oder Auffälligkeiten informieren, die einen Hinweis auf eine Kompromittierung geben können. Dieser ursprünglich rein reaktive Dienst wird kontinuierlich um präventive Aspekte erweitert. Für die Meldungen werden eigene Sensoren und externe Datenquellen herangezogen und ausgewertet. In diesem Rahmen spielt die Erweiterung der Sicherheitsdienstleistung über das “Security Operations”-Projekt eine besondere Rolle, insbesondere die dadurch ermöglichte Untersuchung von Netflows mit tagesaktuellen Indicators of Compromise (IoCs), die das Cyber Threat Intelligence-Team (CTI-Team) des DFN-CERT bereitstellt. Auch die Einlieferung und Analyse von Logdaten der Teilnehmer steigert den Wert der Automatischen Warnmeldungen für die eigene Einrichtung und auch für andere Einrichtungen, die in den Logdaten auftauchen, noch einmal signifikant.

Reaktion

Das Incident Response Team des DFN-CERT stellt eine Hotline für Sicherheitsnotfälle bereit und ist bemüht, innerhalb von 24 Stunden nach den ersten Auffälligkeiten mit einer betroffenen Einrichtung Kontakt aufzunehmen. Oft ist die Kommunikation per E-Mail dann schon nicht mehr möglich. Bis zur Ankunft des Dienstleisters der Wahl zur Vorfallsbearbeitung können wir aber bereits Netflows für die spätere Analyse vor Ort sichern. Hierbei spielt die Zeit für die Angreifer, da die Netflows der Kernrouter des DFN nur begrenzt vorgehalten werden. Ein schneller Kontakt ist daher unerlässlich.

Wir verfügen durch die Vernetzung mit anderen Sicherheitsteams über mehr Informationen, als wir öffentlich bereitstellen können und dürfen. Beim direkten Kontakt stellen wir durch Beachtung des Traffic Light Protocols (TLP) sicher, dass die Informationen in beide Richtungen offen und nach außen nur eingeschränkt fließen können. Das ist besonders hervorzuheben, da die Erfahrungen und Analyseergebnisse vor Ort auch anderen Einrichtungen helfen können und andere Einrichtungen möglicherweise bereits Kontakt mit der Angreifergruppe hatten. In solchen Fällen stellen wir auf Wunsch den Kontakt zu vormals Betroffenen her und diskutieren die Vorfälle anonym mit den Sicherheitsteams anderer Forschungsnetze weltweit.

EDUCV

Falls in Ihrer Einrichtung im DFN bereits ein operatives Informationssicherheitsteam existiert, sollten Sie eine Teilnahme am EDUCV erwägen. Dieser Zusammenschluss von Sicherheitsteams deutscher Hochschulen, Lehr- und Forschungseinrichtungen zeichnet sich durch ein erhöhtes Vertrauensniveau und kurze Kommunikationswege aus. Es werden die speziellen Informationssicherheitsrisiken der sich stets im Wandel befindlichen Netzwerkumgebungen der Forschungslandschaft unter aktiver Beteiligung des DFN-CERT diskutiert und gemeinsam Lösungen auch für problematische Einzelfälle erarbeitet.

Referenzen

Öffentliche Quellen zu Vorfällen finden sich beispielsweise bei KonBriefing Research und auf der privaten Webseite von Prof. Andreas Heil (Hochschule Heilbronn).

Martin Waleczek, DFN-CERT

  1. Double Extortion: Verschlüsselung und Extraktion der sensitiven Daten. Das Lösegeld soll die Entschlüsselung ermöglichen. Wird nicht gezahlt, wird mit Veröffentlichung der Daten gedroht. ↩︎