Ablauf eines Ransomware-Angriffs

Trend Micro, Anbieter von Lösungen für Cyber-Sicherheit, hatte im Internet einen ausgefeilten Honeypot aufgestellt und über mehrere Monate betrieben, um Cyber-Kriminelle anzulocken und deren Arbeitsweise studieren zu können. Es wurde ein kleines produzierendes Unternehmen inklusive Homepage und Mitarbeitern simuliert, das für große Kunden Prototypen fertigt, u.a. in den Branchen Automotive, Militär sowie Luft- und Raumfahrt. Damit wurde eine Organisation suggeriert, die vermutlich nur geringe Sicherheitsmaßnahmen ergriffen hat, aber ein interessantes Ziel darstellt. Insbesondere sollten auch die Auswirkungen auf industrielle Steuerungen untersucht werden.

Der Bericht beschreibt auf 63 Seiten ausführlich die Konzeption sowie den Betrieb des Honeypots mit den Beobachtungen von Mai bis Dezember 2019. Das umfasst die Nutzung des Systems für das Mining von Kryptowährungen, betrügerische Online-Aktivitäten, zwei echte Ransomware-Angriffe sowie einen fingierten Ransomware-Angriff.

Ausführlich ist die Übernahme des Systems sowie die Verschlüsselung der Dateien dokumentiert. Auch die Kommunikation mit den Erpressern ist dargestellt, die Service-Zeiten nennen und sich beim Lösegeld auf Verhandlungen einlassen.

Fake Company, Real Threats – Logs From a Smart Factory Honeypot (dort das PDF öffnen)
https://www.trendmicro.com/vinfo/de/security/news/internet-of-things/fake-company-real-threats-logs-from-a-smart-factory-honeypot