Darkside erhält ein Lösegeld in Höhe von 4,4 Millionen US-Dollar von einem deutschen Chemiedistributor

Anfang dieser Woche, als der US-Pipeline-Riese DarkSide Ransomware Colonial Pipeline zwang, ein Lösegeld in Höhe von 5 Millionen US-Dollar für die Wiederherstellung des Betriebs zu zahlen, zog er Bitcoin von Brenntag, einem deutschen Chemievertriebsunternehmen, ein Lösegeld in Höhe von 4,4 Millionen US-Dollar ab.

für mich Schlafender ComputerBrenntag hatte keine andere Wahl, als das Lösegeld zu zahlen, nachdem die Ransomware-Gruppe die nordamerikanische Abteilung des Unternehmens ins Visier genommen, die Geräte des Unternehmens verschlüsselt und bis zu 150 GB Daten, einschließlich unverschlüsselter Dateien, gestohlen hatte. Die Gruppe soll danach Zugang zum nordamerikanischen Brenntag-Netzwerk erhalten haben Kaufen Sie gestohlene Anmeldeinformationen Von einer anderen Entität.

Brenntag hat seinen Hauptsitz in Essen und gehört zu den größten Chemiedistributoren der Welt. Das Unternehmen ist in 77 Ländern tätig und beschäftigt mehr als 17.000 Mitarbeiter. Das Unternehmen verfügt über mehr als 190 Vertriebsstandorte in den USA und Kanada und hat rund 40.000 Kunden in der Region. Mit einem Umsatz von 12,8 Milliarden Euro im Jahr 2019 ist das Unternehmen auch Marktführer in Lateinamerika.

Nach der Verschlüsselung der Geräte und Dateien des Unternehmens forderte die DarkSide-Ransomware-Gruppe ein Lösegeld von 133,65 Bitcoin (4,58 Mio. GBP). Nach langwierigen Verhandlungen mit dem Unternehmen akzeptierte sie schließlich am 11. Mai eine Zahlung von 3,12 Mio. GBP. Fälle, in denen der Vorfall auf Kundeninteraktionsseiten nicht aufgedeckt wurde.

Dieser Vorfall ist ein biblischer Fall, in dem erklärt wird, warum Unternehmen Benutzeranmeldeinformationen kontinuierlich schützen, Anmeldeinformationen regelmäßig zurücksetzen und eine Multi-Faktor-Authentifizierung implementieren müssen, um Geräte und Benutzerkonten vor unbefugtem Zugriff zu schützen. Die Tatsache, dass die Ransomware-Gruppe gestohlene Anmeldeinformationen verwendet hat, um leicht in ein globales Unternehmensnetzwerk einzudringen, zeigt, dass die Verwaltung von Anmeldeinformationen von Organisationen immer noch nicht priorisiert wird. Brenntag North America hat die Lektion auf die harte Tour gelernt.

Schlimmer noch, selbst Cybersicherheitsunternehmen sind aufgrund ihrer Unfähigkeit, den Diebstahl von Benutzeranmeldeinformationen zu erkennen, Verstößen ausgesetzt. Im Jahr 2019 gab der tschechische Antiviren-Anbieter Avast zu, dass Hacker gestohlene VPN-Anmeldeinformationen verwendet und die fehlende Zwei-Faktor-Authentifizierung genutzt haben, um zwischen dem 14. Mai und dem 23. September dieses Jahres sieben Mal erfolgreich auf sein internes Netzwerk zuzugreifen.

Das betroffene VPN-Konto verfügt über Domänenadministratorrechte, obwohl der Benutzer, dessen Anmeldeinformationen verwendet wurden, nicht über die Domänenadministratorrechte verfügt. Das Unternehmen stellte fest, dass der Hacker, der die Anmeldeinformationen gestohlen hatte, ein Privileg erfolgreich eskaliert hatte, während er eine öffentliche IP-Adresse verwendete, die außerhalb Großbritanniens gehostet wurde.

Im November 2019 ergab eine Studie von ImmuniWeb, dass Hacker mehr als 21 Millionen Anmeldeinformationen von Fortune 500-Unternehmen gestohlen und mehr als 16 Millionen von ihnen gestohlen und über einen Zeitraum von zwölf Monaten auf dunklen Webplattformen veröffentlicht haben. 95% der 21 Millionen gestohlenen Anmeldeinformationen waren „Passwörter, die von den Angreifern nicht verschlüsselt oder erzwungen wurden“.

Die Studie ergab auch, dass nur 4,9 Millionen der 21 Millionen gestohlenen Anmeldeinformationen eindeutig waren, was darauf hinweist, dass die weit verbreitete Praxis, dass Mitarbeiter identische oder ähnliche Passwörter verwenden, in den größten Organisationen der Welt immer noch gilt.

Alle gestohlenen Anmeldeinformationen dieser Fortune 500-Unternehmen wurden an Ressourcen innerhalb des TOR-Netzwerks, in verschiedenen Webforen, Pastebin, IRC-Kanälen, sozialen Netzwerken, Messaging-Chats und vielen anderen Websites, die für die Bereitstellung, den Verkauf oder die Verteilung gestohlener Daten oder bekannt sind, angebracht gefunden Das ist durchgesickert „, sagte ImmuniWeb.

„Diese Zahlen sind sowohl frustrierend als auch besorgniserregend. Die kolossale Fülle gestohlener Anmeldeinformationen, auf die im dunklen Internet zugegriffen werden kann, ist das moderne Klondike-Spiel zur Verbreitung von Bedrohungsakteuren, die nicht einmal in teure oder zeitaufwändige APTs investieren müssen. Sie dringen leicht unbemerkt in Sicherheitssysteme ein und greifen nach dem, was sie wollen. Schlimmer noch, viele solcher Verstöße können aufgrund fehlender Aufzeichnungen oder mangelnder Kontrolle über Hacker nicht technisch untersucht werden. [third-party] Sagte Ilya Koluchenko, CEO und Gründer von ImmuniWeb.

„In Zeiten von Cloud, Containern und dem kontinuierlichen Outsourcing kritischer Geschäftsprozesse haben die meisten Unternehmen die Sichtbarkeit und damit die Kontrolle über ihre digitalen Assets und Daten verloren. Sie können nicht schützen, was Sie nicht sehen, und Sie können auch keine Daten schützen, wenn Sie tun dies nicht. Ich weiß nicht, wo es gespeichert ist und wer Zugriff darauf hat. Risiken von Drittanbietern verschärfen die Situation dramatisch, indem sie dem Spiel gefährlichere Unbekannte hinzufügen.

„Ein gut durchdachtes, kohärentes und umfassendes Risikomanagement- und Cybersicherheitsprogramm sollte nicht nur auf Ihr Unternehmen beschränkt sein, sondern kontinuierlich und datengesteuert auf Dritte“, fügte er hinzu.