Cyberangriffe aus Russland: Wie Sie sich jetzt schützen sollten

gepostet am 28.02.2022 von

Eines gleich vorweg: Ich verurteile jede Form von Gewalt und ganz besonders verurteile ich Angriffskriege. Ich bin aber kein Außenpolitik-Experte und will auch versuchen hier neutral zu berichten. Allerdings finden nicht unwesentliche Teile des Krieges im Internet statt. Und das betrifft unmittelbar unsere Leser im Blog und natürlich, insbesondere Betreiber kritischer Infrastrukturen (KRITIS).

Ich möchte in diesem Blogbeitrag zusammenfassen, was wir wissen und wie sie sich schützen sollten.

Was bisher schon passierte

Seit Langem werden in der Ukraine immer wieder Infrastrukturen durch Cyberangriffe lahmgelegt. 2015 kam es zu einem großflächigen Blackout in Folge eines Cyberangriffs.

Der bekannteste Angriff, der sich dann schnell weltweit verbreitete, war die Ransomware Petya 2017, welche Banken und Unternehmen traf.

Die Angriffe auf Behörden der Ukraine nahmen zuletzt stetig zu und waren seit letztem Sommer immer wieder Teil der Fachpresse. Zum Beispiel hier oder hier.

Nun – kurz vor Beginn des Angriffskrieges – wurden auch die Aktivitäten im Cyberraum deutlich verstärkt.

Die Reaktion der Ukraine klingt ein wenig verzweifelt – kann aber durchaus erfolgreich sein. Denn es gibt auch in der Ukraine sehr viele erfahrene Hacker. Also ruft die Regierung zur Unterstützung.

Unterstützer der Ukraine und Unterstützer Russlands

Neben der Tatsache, dass es auch in der Ukraine eine ganze Menge gut ausgebildeter Computerexperten gibt, beteiligt sich inzwischen auch eines der größten Hacker-Kollektive an den Hackbacks. Die Aktivisten der Gruppe Anonymous haben zunächst Ihre Beteiligung erklärt:

Quelle: https://twitter.com/YourAnonOne/status/1496965766435926039

Und seit dieser Ankündigung kommen stündlich Informationen zu gehackten russischen Websites, wie z.B. mil.ru (Verteidigungsministerium),  RT News (staatlicher Nachrichtensender) und anderer regierungsnaher Institutionen.

Getoppt wird dies aktuell durch die Veröffentlichung von entwendeten Daten auf mil.ru:

Quelle: https://twitter.com/YourAnonTV/status/1497273131567828992

Die Reaktion russischer Hackergruppen lässt dabei nicht lange auf sich warten. Erstaunlich dabei ist: Zunächst reagiert die Gruppe Conti. Die Gruppe Conti  ist verantwortlich für zahlreiche Ransomware-Angriffe, wie zum Beispiel Clementoni oder auch der Donau-Iller-Verkehrsverbund.

Die Ansage ist aber leider sehr deutlich und alarmierend:

Im Prinzip steht dort: Wer sich an Cyberangriffen auf russische Organisationen beteiligt, dessen kritische Infrastrukturen werden wir mit allen unseren Mitteln angreifen.

KRITIS Betreiber (und alle anderen) sollten sofort handeln

Diese Drohung bedingt die unmittelbare Pflicht zu handeln. Das beschreibt unsere Bundesinnenministerin so:

Quelle: https://twitter.com/NancyFaeser/status/1496783456323485699

Nicht gerade besonders vertrauenerweckend, wie ich finde.

In unserem SOC und auch auf den Firewalls in entsprechenden Organisationen beobachten wir die Lage aktuell sehr genau. Wir raten dennoch allen Unternehmen – ganz besonders aber Unternehmen, die als kritische Infrastruktur eingestuft sind – die vorhandenen Schutzmaßnahmen umgehend zu verschärfen!

Unsere Handlungsempfehlungen

Die gute Nachricht: Grundlegend hat sich an den Empfehlungen zur Absicherung von Organisationen nichts Wesentliches verändert! Wer also bereits nach Best Practice aufgestellt ist, sollte nur einige Regelwerke verschärfen.

Filter verschärfen

Eingehend

Alle Verbindungen, die Verkehr von extern zulassen, sollten verschärft gefiltert werden: Geoblocking aktivieren, Verbindungen aus Niederlassungen filtern, interne Firewalls vor den kritischen Systemen aktiveren und Verkehrsbeziehungen einschränken, unnötige Protokolle abschalten.

Ausgehend

Allen Verkehr, der das Haus verlässt, prüfen. Wenn möglich, auf Whitelisting setzen: Also nur Verbindungen zu vorher ausgewählten Websites zulassen. Verdächtigen Verkehr unterbinden, Threat-Listen aktualisieren. Untypisches Verhalten ermitteln (Anomalieerkennung).

E-Mail

Die Filter bei eingehenden Mails deutlich verschärfen: gefährliche Dateianhänge ablehnen, Online-Scans durchführen, Links entfernen, etc.

Anwender sensibilisieren

Weisen sie Ihre Mitarbeiter auf die erhöhte Gefahrenlage hin und bitten sie um:

  • Aufmerksames Prüfen jeder Mail
  • Kein Anklicken von Links
  • Kein Ausführen von Dateianhängen
  • Benutzername oder Passwort werden nicht preisgegeben
  • verdächtige Mails, URLs etc. bitte umgehend melden an:

Unser Schnellhilfe-Angebot I
Wir stellen kurzfristig E-Learnings für ihre Anwender zum Thema Phishing und Malware bereit. Einmalig für 100 User 5.000 €. Kontaktieren Sie vertriebsinnendienst@to.com.

Security-Sensorik überwachen – Logs

Aktivieren Sie in jedem Fall das Exportieren von Logfiles. Am besten zu einem SIEM oder Logmanagement-System. Falls keines vorhanden ist, dann mindestens zu einem Syslog Server.

Aktivieren Sie alle Optionen und lassen sie alle Logfiles aufzeichnen.

Wenn Sie ein SIEM System einsetzen, dann sollten Sie spätestens jetzt einen Alarm vorbereiten, der zügig IOC (Indicator of Compromise) erkennt und meldet.

Haben Sie kein SIEM im Einsatz, dann sollten Sie die Suchstrings vorbereiten.

IOCs (Indicator of Compromise) können z.B. die Kommunikation mit verdächtigen (bekannt maliziösen) Hosts, IP-Adressen oder Domains, direkte Verbindungsversuche (C² Server) oder Dateien (file hashes) sein.

IoC GitHub-Repo

Wir haben unsere konsolidierten IOC (Indicators of Compromise) veröffentlicht. Diese stammen aus verschiedenen Quellen und können bei Abwehr und vor allem Erkennung von Cyberattacken im Kontext der aktuellen Krise helfen.
Die Liste wird ständig erweitert:

https://github.com/Thinking-Objects-GmbH-Team-SOC/ioc

 

Unser Schnellhilfe-Angebot II+III
(II) Wir pflegen die FW-Regeln zum Blocken der aktuell bekannten IOCs nach Aufwand.
(III) Prüfen der FW-Logs auf die uns aktuell bekannten IOCs durch unser SOC für 1.000 € pro System. Kontaktieren Sie vertriebsinnendienst@to.com.

Backup erstellen

Machen Sie umgehend vollständige Backups Ihrer Systeme und lagern Sie diese verschlüsselungssicher aus (z.B. auf Band sichern und diese dann an einen anderen Standort verbringen).

Patches installieren und Schwachstellen ermitteln

Sie haben noch nicht die letzten Updates ausgerollt? Das sollten sie umgehend tun. Auf ein Wartungsfenster zu warten, das sollte keine Option sein. Danach sollten Sie mithilfe eines Schwachstellenscans prüfen, ob Sie nichts übersehen haben. Die Frequenz dieser Scans sollten sie jetzt erhöhen.

Incident Response Plan üben

Sie sollten den staubigen oder nicht vorhandenen Plan aus der Versenkung holen und aktualisieren: Stimmen alle Ansprechpartner, ist der Prozess eindeutig und vollständig beschrieben, etc.

Diesen Plan sollten sie dann mindestens einmal erproben!

Fazit

Alle Zeichen deuten auf eine Ausweitung der Angriffe im Cyberraum hin.  In Europa herrscht Krieg. Im Internet ist dieser auf der ganzen Welt – also auch in Deutschland -zu spüren. Das Gebot der Stunde: Erhöhen Sie dringend die Schutzmaßnahmen. Dabei helfen wir ihnen schnell und unkompliziert.

In erster Linie werden wir aktiv auf unsere Kunden im KRITIS-Umfeld zugehen. Morgen Vormittag und am späten Nachmittag werden wir Sie live im Rahmen eines Webcasts über alle wichtigen Punkte zur Bedrohungslage informieren. Dabei bieten wir Ihnen auch die Gelegenheit, uns Fragen zu stellen.

+++ Update +++
Hier können Sie die Aufzeichnung ansehen:


Bleiben Sie alle bitte sicher!

Webinar: Managed SOC Service für den Mittelstand

Erfahren Sie im Kompakt-Webinar (30 Minuten) wie ein Security Operation Center (SOC) aufgebaut ist.  Mit der SOC-Einsatz-Zentrale sind Sie den entscheidenden Schritt schneller bei der Cyberabwehr.

Wann
Dienstag, 8. März 2022, 14:00 Uhr
Dienstag, 15. März 2022, 14:00 Uhr

Referent
Philipp Zeh (SOC Manager & IT-Security Consultant)

Melden Sie jetzt an, auch wenn Sie an diesem Termin keine Zeit haben. Im Nachgang stellen wir die Aufzeichnung zur Verfügung.

Autor/in

Götz
Weinmann

IT-Security Consultant und ISO 27001 Auditor

Top Blogbeiträge

Verlehrsschilderwald
Wissen Sie, was auf ihrer Firewall vor sich geht?
Corona-Warn-App – Welche Daten werden geteilt?
MVSS
Vulnerability Scan – Grenzen und Chancen

Dies könnte Sie auch interessieren

CyberkriegHackerKriegKRITISRusslandUkraine

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *