Erneut kam es zu einem Supply-Chain-Angriff, an dem ein weiteres IT-Dienstleistungsunternehmen beteiligt war. Angreifer verschafften sich Zugang zu den IT-Systemen, um Code zu ändern, der als einfaches Update an Kunden und deren Kunden verschickt wurde und inzwischen Zehntausende von Kundensystemen weltweit betrifft.
Bösartiger Code wurde angesichts der bestehenden Prozesse als vertrauenswürdig deklariert und verbreitete sich lateral in den Netzwerken, um IT-Systeme als Geiseln zu nehmen. Die ersten Opfer in Europa sind ein schwedischer Supermarkt, ein Bahnunternehmen und eine Apothekenkette.
Es wird erwartet, dass die Kettenreaktion Organisationen in mindestens 17 Ländern trifft, darunter auch Deutschland, wo drei IT-Dienstleistungsunternehmen und deren Kunden, vor allem Kleinstunternehmen, ebenfalls betroffen sind.
Insgesamt handelt es sich wohl um mehr als 1.000 infizierte Computer. Der Fall ähnelt dem von SolarWinds Sunburst und den Windows-Exchange-Angriffen der HAFNIUM-Gruppe. Leider scheint es das neue Normal in der Welt der Cybersicherheit zu sein, IT-Dienstleister anzugreifen, um eine Kettenreaktion ähnlich fallender Dominosteine auszulösen.
Für Ryan Chapman, Instructor & Author am SANS Institute, sind die Menschen der wichtigste Faktor, wenn es darum geht, Ransomware zu bekämpfen. Menschen sind von zentraler Bedeutung, denn man kann keine Prozesse oder Technologien ins Spiel bringen, geschweige denn richtig verwalten, wenn man keine Menschen zur Verfügung hat.
Zu oft gab es Incident Response-Fälle, bei denen der ursprüngliche Infektionsvektor durch eine nicht befolgte Richtlinie oder durch eine technologische Lösung ausgelöst wurde, die nicht richtig implementiert oder konfiguriert war. Der wichtigste Aspekt für die Cybersicherheit eines Unternehmens sind daher die Menschen. Und zwar gut ausgebildete Mitarbeiter, die unnötige Fehler vermeiden.
„Eine technische Implementierung wie eine starke Endpoint Detection Response-Lösung nützt einem Unternehmen möglicherweise nichts, wenn keine Alarme generiert werden oder wenn niemand diese Alarme im Blick hat. Managemententscheidungsprozesse wie eine Sicherheitsüberprüfung in die Entscheidungen des Änderungskontrollgremiums einzubeziehen, nützen nichts, wenn die „Mitarbeiter“, die diese Änderungen überprüfen, nicht aufpassen “, sagt Ryan.