12. Mai 2021, 06:10
Lesezeit: ca. 2 Min

Drei ausgeknipste Windows-AD am Tag

Jeden Tag wird mindestens ein Windows-AD in Unternehmen “ausgeknipst”. Das war bislang mein Spruch. Ich muß mich korrigieren. Es muss heissen:

Jeden Tag werden mindestens drei Windows-AD in Unternehmen “ausgeknipst”.

Das wird dokumentiert mit einer schönen Liste1 von 2.155 “geplatzten” Windows-Netzwerken aus den vergangenen beiden Jahren. Der erste Datensatz beginnt im Mai 2019, der Letzte ist datiert auf vorgestern, den 10.05.2021. Diese Liste zirkuliert aktuell in einschlägigen VX-Foren.

Aus Deutschland mit dabei sind große Marken wie z.B. SIEMENS, INTERSPORT, EINHELL, IRLE DEUZ, TRACTO-TECHNIK, zahlreiche KMU, Universitäten und auch einige Anwalts- und Steuerkanzleien. Der letzte Datensatz stammt von einer Glausbau-Firma aus Augsburg und datiert vom 04.05.2021. Die Website ist erwartungsgemäß zwar in Suchmaschinen bestens indiziert, aktuell jedoch nicht aufrufbar.

Weitere Stichproben machen die Liste glaubhaft, sie bleibt jedoch unvollständig. Es fehlen zum Beispiel die zahlreichen deutsche Krankenhäuser und einige mir persönlich bekannte KMU. Auch die Molkerei Ehrmann, das jüngste Opfer mit einer bekannten Marke fehlt.2 Als “Intelligence Report” würde ich diese Liste daher nicht bezeichnen auch wenn sich da jemand viel Mühe mit dem Zusammentragen gemacht hat und für künftige Dienste werben möchte. Es bleibt abzuwarten, ob da noch mehr folgt.

Ansicht der Liste

Interessant ist die Auflistung aber auf jeden Fall. Besonders gut sichtbar wird die wellenartige Verbreitung und die ständigen Anpassungen zur Erlangung von Persistenz. Wie das REvil mit einfachen und sogar dokumentierten Windows-Bordmitteln macht, das habe ich im März bei Heise beschrieben.3

Erstmalig taucht REvil am 13.05.2020 auf, um dann mit einem Peak am Wochenende vom 20. bis zum 24.08.2020 weltweit zuzuschlagen. Die Kurve flacht daraufhin ab, um im Oktober 2020 mit einem erneuten Peak zwischen dem 09. und 14.10.2020 wiederzukommen. Es folgt eine Abklingphase mit vereinzelten Nachzüglern. Die dritte Welle lässt sich im April 2021 beobachten mit einem signifikanten Unterschied zu den beiden vorherigen: Der Peak ist geringer, erstreckt sich aber über den kompletten Monat und betrifft in Summe viel mehr Netze.

Das zeigt eindrucksvoll, wie wirkungsfrei sogenannte Anti-Virus und Sicherheitssoftware gegenüber hochangepassten Werkzeugen wie REvil sind. Die Liste zeigt mir aber auch etwas anderes: Es müssen noch viel mehr Windows-AD Netzwerke “platzen” bis ein Umdenken stattfindet.

In diesem Sinne,
Tomas Jakobs


  1. https://twitter.com/darktracer_int/status/1392040615337095171#m ↩︎

  2. https://www.augsburger-allgemeine.de/illertissen/Oberschoenegg-Cyberangriff-Hacker-wollten-Molkerei-Ehrmann-erpressen-id59670316.html ↩︎

  3. https://www.heise.de/hintergrund/Windows-REvil-Trojaner-trickst-abgesicherten-Modus-aus-5996336.html ↩︎

© 2021 Tomas Jakobs - Impressum und Datenschutzhinweis