Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Ransomware Containment

Wie eine globale Anwaltskanzlei einen Ransomware-Angriff mit Illumio stoppte

Ron Isaacson
Sr. Director, Unternehmensarchitektur
Illumio Editorial
24Juni 2022
23 min. lesen

Eine weltweit tätige Anwaltskanzlei wurde von Ransomware getroffen. 

Der Angriff breitete sich schnell auf ein Dutzend Server aus.

Die Angreifer waren bereit, das gesamte Netzwerk zu infiltrieren und das Unternehmen in Geiselhaft zu nehmen. 

Aber diese Anwaltskanzlei war bereit. Sie hatten Illumio. Und durch den Einsatz unserer Technologie können sie:

  • Den Angriff auf nur 12 Server eindämmen 
  • Identifizierung der kompromittierten Systeme und Quarantäne in Sekundenschnelle
  • Stoppen des Angriffs innerhalb weniger Stunden nach dem ersten Verstoß 
  • Die Bedrohung wurde beendet, bevor die Angreifer sensible Daten verschlüsseln oder stehlen und dem Unternehmen und seinen Kunden schaden konnten.

In diesem Beitrag erklären wir, wie die globale Anwaltskanzlei den Ransomware-Angriff mit beispielloser Geschwindigkeit stoppte und gleichzeitig erhebliche Schäden an ihren IT-Systemen, ihrem Geschäft und vor allem ihren Kunden vermied. 

Vom Eindringen bis zur Räumung in Stunden: Zeitleiste eines Angriffs

Es hätte eine Katastrophe werden sollen.

Die Anwaltskanzlei hatte Tausende von Benutzern, Servern und Workstations an Dutzenden von Standorten auf der ganzen Welt. Das Unternehmen hatte Hunderte von Kunden und speicherte eine Fülle sensibler Daten und juristischer Dokumente in seiner digitalen Infrastruktur.

Das Unternehmen war ein Hauptziel für Ransomware, und eines Tages passierte es. Sie wurden angegriffen. 

Aber der Angriff schlug fehl. Die Cyberkriminellen wurden innerhalb weniger Stunden vertrieben. So kam es dazu, wie es Illumio von dem IT-Manager erzählt wurde, der die Incident Response für die Anwaltskanzlei leitete.

Aufgrund der heiklen Natur dieses Vorfalls wurden alle Namen und identifizierenden Einzelheiten zurückgehalten.

Die erste Sicherheitsverletzung: Montag, früher Nachmittag

Einer der Mitarbeiter des Unternehmens erhielt eine Phishing-E-Mail, die von einem Kunden stammte, der von den Angreifern kompromittiert worden war.

"Die Hacker waren hinterhältig", sagt der Manager. "Sie schickten eine URL zu einer vermeintlichen Excel-Datei, aber es war kein Hyperlink. Also kopierte unser Mitarbeiter die URL in seinen Browser, um die Datei herunterzuladen."

Aber nichts passierte. Also wandte sie sich an den IT-Helpdesk des Unternehmens, um beim Zugriff auf die Datei zu helfen, ohne jedoch zu wissen, dass es sich um bösartigen Code handelte.

14:00 Uhr: Der Angriff beginnt 

Der Helpdesk-Mitarbeiter kopierte die URL in seinen Browser. Dies veranlasste die als Waffe eingesetzte Datei, ihre Malware zu starten. 

"Die Excel-Datei führte ein Makro aus, das es den böswilligen Akteuren ermöglichte, seine Workstation zu kompromittieren und auf seine Kontoberechtigungen zuzugreifen", erklärt der Manager.

14:00 – 15:40 Uhr: Der Angreifer bleibt unentdeckt

Der Rechner des IT-Technikers war fast zwei Stunden lang online und unkontrolliert, so dass die Kriminellen Zeit hatten, zu erkunden und zu beurteilen, wie sie ihren Angriff am besten durchführen können.

"Die bösen Akteure führten ihre Netzwerkscans sehr sorgfältig und langsam durch, so dass ihre Bewegungen fast nicht zu erkennen waren", sagt er.

Schließlich fanden die Angreifer Server, auf die sie mit den Berechtigungen zugreifen konnten, die sie von der Helpdesk-Workstation erworben hatten. Das war der Moment, in dem sie ihren Schuss abgaben.

15:40 – 16:00 Uhr: Die Angreifer machen ihren Zug

Die Angreifer verschlüsselten die Datenbankdateien zunächst auf einem SQL-Server. Dies führte zum Absturz des Servers. Die IT-Abteilung der Kanzlei bemerkte den Absturz sofort, untersuchte ihn und sah Indikatoren für Ransomware. 

"Unser Datenbankadministrator rief mich um 18:00 Uhr an und sagte mir, er glaube, wir seien von Ransomware getroffen worden", sagt er.

16:00 – 16:50 Uhr: Erstellung des War Rooms

Der IT-Manager informierte seinen CIO über den Vorfall. Es war ein Anruf, den kein CIO jemals erhalten möchte. Er befürchtete das Schlimmste. Sie wussten, dass die Uhr zu ticken begonnen hatte.

Die Anwaltskanzlei musste ihre Reaktion orchestrieren – und zwar schnell.

"Innerhalb von etwa 15 Minuten eröffnete ich einen Zoom-Anruf und traf mich mit Mitgliedern unserer IT- und Sicherheitsteams", erklärt er. "Wir haben uns mit den Protokollen befasst, um herauszufinden, was passiert ist und was bereits kompromittiert war."

16:50 – 18:15 Uhr: Den Angriff verstehen

"Wir fanden schnell die Protokolle, die auf unseren 'Patienten Null' hinwiesen – den IT-Helpdesk-Arbeitsplatz, auf dem die bösartige URL und die Ransomware-Datei gehostet wurden", sagt er.

Aber das war noch nicht genug. Sie mussten wissen, wo sich der Angriff sonst noch ausgebreitet haben könnte. 

"Dann vergehen die Minuten", erklärt der Manager. "Wir haben diese Workstation schnell isoliert und begonnen, die Umgebung als Ganzes zu betrachten, um das Ausmaß des Angriffs zu verstehen."

Das Reaktionsteam schaltete seinen Managed Security Service Provider (MSSP) ein, um die Hacker aufzuspüren. 

Mit seinem SIEM-Tool (Security Information and Event Management), das Echtzeit-Anwendungsverkehrsdaten von Illumio enthielt, konnte der MSSP das SIEM abfragen und feststellen, dass die Angreifer weitere 11 Server erreicht hatten, darunter einen Cloud-basierten Server, der auf Microsoft Azure ausgeführt wurde.

Während das Team arbeitete, konnten sie anhand von Echtzeit-Telemetriedaten erkennen, dass sich das Ausmaß des Angriffs vor ihren Augen ausweitete. Die Zeit lief ab. 

18:20 Uhr: Illumio beendet den Angriff

Die Anwaltskanzlei musste schnell handeln, um den Verstoß einzudämmen.

Mit Illumio war das Team in der Lage, alle 12 Server – einschließlich der Azure-Cloud-Instanz – sofort in einen Segmentierungs-Ringfence zu bringen, ohne Zugriff auf das Netzwerk oder die Computing-Ressourcen.

Letztlich war dies die entscheidende Maßnahme, die den Angriff eiskalt stoppte. 

"Buchstäblich mit ein paar Drag-and-Drop-Klicks konnten wir alle betroffenen Systeme unter Quarantäne stellen", sagt der Manager. "Wenn wir das mit herkömmlichen Methoden versucht hätten, hätte es viel, viel länger gedauert und den bösen Akteuren viele Möglichkeiten gegeben, auf andere Systeme auszuweichen und sich weiter auszubreiten. Mit Illumio konnten wir sie sofort abschalten. Sie hatten keine Möglichkeit, irgendwo anders hinzuspringen, um uns auszuweichen und sich weiter auszubreiten. Der Spaß am Abend war vorbei."

18:20 – 01:00 Uhr: Begutachtung des Schadens

Die Bedrohung war vorbei, aber es gab noch viel zu tun. 

"Wir mussten den gesamten Angriff untersuchen, um festzustellen, ob die kriminellen Akteure unsere Daten gestohlen haben", sagt der Manager. "Wenn wir als Anwaltskanzlei Daten verlieren, müssten wir unsere Mandanten benachrichtigen. Dies würde zu einem Reputationsschaden führen, der sehr schädlich sein könnte."

Er beauftragte eine Incident Response (IR)-Firma , das volle Ausmaß des Angriffs zu untersuchen. 

Dienstag – Freitag: Suche nach Beweisen für exfiltrierte Daten 

Die IT-Abteilung der Anwaltskanzlei installierte den Software-Agenten der IR-Kanzlei und nutzte dann Illumio, um Dateien von den kompromittierten Rechnern sicher zu senden (um sicherzustellen, dass nichts anderes versehentlich erneut infiziert wurde). Das IR-Team machte sich an die Arbeit. 

"Von da an mussten wir nur noch warten", sagt der Manager.

Am Ende der Woche schloss das IR-Team seine Untersuchung ab. 

"Sie kamen zurück und sagten uns, dass keine anderen Systeme kompromittiert worden waren, und sie bestätigten, dass es keine Exfiltration von Daten gab", sagt er. 

Die Nachrichten hätten nicht besser sein können. Und die Ergebnisse waren beispiellos. 

"Alle – vom Incident-Response-Team bis hin zu unserem MSSP – haben uns gesagt, dass sie noch nie ein Unternehmen gesehen haben, das so schnell auf einen Ransomware-Angriff reagiert hat", sagt der Manager. "Sie sagten, es sei unerhört, einen Angriff auf ein Dutzend Systeme zu beschränken, weil er sich so schnell ausbreitet. Aber genau das haben wir dank Illumio geschafft."

Ransomware-Abwehr leicht gemacht

Der IT-Manager sagt, dass Illumio zwar entscheidend dazu beigetragen hat, die Sicherheitsverletzung reaktiv zu stoppen, aber auch der Einsatz der Zero-Trust-Segmentierungsfunktionen von Illumio vor der Sicherheitsverletzung einen entscheidenden Unterschied gemacht hat. 

Obwohl das Unternehmen mit seiner Illumio-Implementierung erst zu etwa 40 Prozent fertig ist, schränkten die bereits vorhandenen Zugriffskontrollen die Wege und Optionen, die den Hackern während des Angriffs zur Verfügung standen, stark ein, was dazu beitrug, sie zu verlangsamen und den Zugriff auf das Netzwerk erheblich einzuschränken.

"Wenn wir nicht bereits damit begonnen hätten, Illumio zu implementieren, um unsere Umgebung zu segmentieren, wäre dieser Angriff viel, viel schlimmer gewesen", sagt der Manager. "Die böswilligen Akteure hätten möglicherweise mehrere Wege aus der Workstation gefunden und sich viel weiter und viel schneller ausgebreitet."  

Die Lehren aus der erfolgreichen Abwehr eines Ransomware-Angriffs durch die Anwaltskanzlei liegen auf der Hand: Sie müssen über die richtige Führung, die richtigen Teams und die richtigen Kontrollen verfügen, um sofort reagieren zu können, wenn es zu einer Sicherheitsverletzung kommt. 

"Es ist nur eine Frage der Zeit, bis Sie Ihre eigene Sicherheitslücke haben", sagt der Manager. "In der heutigen Zeit ist es unerlässlich, Mikrosegmentierung zu implementieren , um laterale Bewegungen zu begrenzen, wenn Hacker oder Malware unweigerlich in Ihr Netzwerk eindringen. Illumio hat es uns ermöglicht, dies auf eine Weise zu tun, die vorher einfach nicht möglich war. Das hat den Unterschied ausgemacht."

Bringen Sie Illumio noch heute in Ihr Unternehmen und seien Sie bereit, Ransomware zu stoppen – bevor sie Ihr Unternehmen in Geiselhaft nimmt. 

  • Lesen Sie die vollständige Fallstudie , um mehr über den Angriff des Unternehmens zu erfahren.
  • Holen Sie sich den Zero Trust Impact Report, um zu erfahren, wie Unternehmen Zero Trust angehen und quantifizierbare Vorteile durch die Implementierung von Segmentierung sehen.
  • Wie Sie eine schnelle, einfache und skalierbare Zero-Trust-Segmentierung implementieren können, erfahren Sie in unserem Leitfaden Zero-Trust-Segmentierung mit Illumio.
  • Vereinbaren Sie eine kostenlose Beratung und Demo mit unseren Experten für Zero-Trust-Segmentierung.

Verwandte Themen

No items found.

Verwandte Artikel

REvil stoppen: Wie Illumio eine der produktivsten Ransomware-Gruppen stören kann
Ransomware Containment

REvil stoppen: Wie Illumio eine der produktivsten Ransomware-Gruppen stören kann

Erfahren Sie, wie Illumio Zero Trust Segmentation dazu beitragen kann, REvil zu stoppen, eine der produktivsten Ransomware-Gruppen, die Lieferkettenabläufe angreift.

Read more
Entmystifizierung von Ransomware-Techniken mit .Net-Assemblies: 5 Haupttechniken
Ransomware Containment

Entmystifizierung von Ransomware-Techniken mit .Net-Assemblies: 5 Haupttechniken

Erfahren Sie mehr über 5 Ransomware-Techniken mit dem .Net-Software-Framework.

Read more
Hive Ransomware: Wie man seinen Stachel mit Illumio Zero Trust Segmentierung begrenzt
Ransomware Containment

Hive Ransomware: Wie man seinen Stachel mit Illumio Zero Trust Segmentierung begrenzt

Erfahren Sie mehr über Hive Ransomware und wie Illumio dazu beitragen kann, das Risiko für Ihr Unternehmen zu mindern.

Read more
No items found.

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Learn more