Beim gemütlichen Lesen des Abschlussberichtes1 des Ransomware Vorfalles bei der Südwestfalen IT (SIT) komme ich aus dem Kopfschütteln nicht raus. Neben den haarsträubenden Managementfehlern offenbart dieser weder Incident-Management noch eine gelebte Sicherheits-Kultur. Das i-Tüpfelchen bildet die Hinterlegung des Domänen-Administrator Passwortes in einer Gruppenrichtlinie.
Es wurde festgestellt, dass das Kennwort des Domänen-Administrators intra.lan\Administrator seit 2014 in einem Gruppenrichtlinienobjekt in entschlüsselbarer Textform hinterlegt war.
Da mein Blog auch von einigen Windows-Administratoren gelesen wird: Prüft bitte Eure ADs mit den frei verfügbaren Tools wie zum Beispiel PowerSploit2 oder veeam-creds3. Automatisiert können EventID Logs mit Graylog4 oder Chainsaw5 überprüft werden.
Die SIT operierte im Blindflug
Der Abschlussbericht offenbart: Bei der SIT gab es offensichtlich niemanden mit Kenntnissen über Funktionsweise und Betrieb von AD-Domänen. Best Practices zur Systemhärtung wurden nicht angewendet. Es erfolgte kein Monitoring und keine Auswertung kritischer Windows-EventIDs.
Alles wenig verwunderlich. Wer “Senior-Administratoren” mit Schwerpunkt “Zentrale Administration Rechenzentrum” sucht6 und mit TVöD 9b7 billigst abspeist, der bekommt geliefert wie bestellt.
Weiterhin im Schlafwandel
In Anbetracht der öffentlichen Kommunikation bleibt wenig Hoffnung. Die Pressemeldung vom 25.01.20248 steht im klaren Kontrast zu den Fakten des Abschlussberichtes. Ein paar Beispiele:
Die Südwestfalen-IT wurde Opfer eines kriminellen, professionell ausgeführten Ransomware-Angriffs…
Die Ransomware weist minimale Obfuskation sowie keine Anti-Tamper oder Anti-Debugging-Mechanismen auf. Die Windows-Defender AV-Lösung hat am Nachmittag des 29.10.2023 sogar mit Event IDs 11169 und 111710 rechtzeitig angeschlagen bevor die Täter das Laufwerk C: als Ausnahme anlegen konnten. Nur gab es auf Seiten der SIT offenbar niemanden, der davon Notiz nehmen, geschweige denn Maßnahmen ergreifen konnte. Die direkte Erkennbarkeit aller Strings innerhalb der Ransomware erleichterte die spätere Analyse erheblich, so der Abschlußbericht. Der Angriff ist von daher weder besonders, noch wirklich “professionell”.
Ransomware greift selten gezielt an. Für Betroffene ist es immer schwer zu akzeptieren, zufällig Opfer von Hackern aus Drittweltländern geworden zu sein.
Die Südwestfalen-IT dämmte den Angriff durch unverzügliches Herunterfahren und Isolieren der betroffenen Systeme ein.
Die Abfolge der Ereignisse dokumentiert, dass diese Aussage nicht zutreffend ist. Bereits am 18.10.2023 erfolgten über die kompromittierte VPN-Verbindung Probing und Anmeldung auf 190 interne Server. Tage vor einer Reaktion der SIT waren die Täter bereits im Netzwerk und konnten sich lateral mit vollen Adminrechten bewegen. Die Verschlüsselung von 961 Servern begann am Nachmittag des 29.10.2023 ab 15:40 Uhr. Die ersten akira_readme.txt Datein wurden nur wenige Minuten später ab 15:43 Uhr identifiziert. Die Verschlüsselung der Server lief ohne Unterbrechung bis 01:38 Uhr. Erst in der folgenden Nacht und frühen Morgen erfolgte das angeblich “unverzügliche” Herunterfahren und Isolieren der betroffenen Systeme. Wie Günter Born in seinem Artikel ausführt, sei das erst nach 6:30 Uhr erfolgt.11
Den Zugang zum internen Netzwerk erlangten die Angreifer über eine softwarebasierte VPN-Lösung mit einer Zero-Day-Schwachstelle, die keine Multifaktor-Authentifizierung erforderte.
Nein, in der Cisco-VPN-Lösung gab es keine Zero-Day-Schwachstelle. Zero-Days sind definiert, dass es kein Fix oder Workaround seitens eines Herstellers gibt. Die gegenständliche VPN-Schwachstelle war aber seit einem Monat mit einem Update12 behoben.
Selbst ohne Multifaktor-Authentifizierung kamen offenbar einfach zu erratende Kennwörter zum Einsatz. Leider konnte ein Brute-Force-Knacken nicht mehr nachvollzogen werden, da die SIT über keine Log-Dateien vor dem 06.10.2023 verfügt. Diese wurden ohnehin von niemanden überprüft und auch sonst erfolgte kein Lock-Out oder Fail2Ban eines Accounts oder einer IP nach drei erfolglosen Anmeldeversuchen, wie normalerweise üblich.
Sicherheitslücken in der intra.lan ermöglichten es den Angreifern, die Rechte bis zur Domain-Administrationsberechtigung zu erhöhen.
Wie ausgeführt waren es keine Sicherheitslücken, sondern eine von der SIT selbst herbeigeführte, schlampige AD-Konfiguration mit dem Passwort des Domänen-Admins (dem mit der unveränderbaren SID) im Klartext in einer GPO, die zu einer Rechteausweitung führte. Die Eingabe von Credentials in der GPO wird von Microsoft seit 2014 verhindert.13 Der Umstand, dort ein funktionierendes Passwort vorzufinden, erlaubt weitergehende Schlüsse über das Mindset der SIT-Administratoren und deren Methodik.
Die Datenrücksicherungen der Südwestfalen-IT sind intakt und werden den Kommunen schrittweise wieder zur Verfügung gestellt.
Wenn eine Rücksicherung Wochen und Monate in Anspruch nimmt, dann ist diese alles nur nicht “intakt”. Die zum Einsatz gekommene Veeam-Software mit AD Integration und fehlender Isolation kann es auch nicht sein. Die SIT hatte lediglich Glück, dass die Angreifer nicht besonders sorgsam und Schnelligkeit vor Sorgfalt priorisierten. Der Aufruf von veeam-creds erfolgte auf einem Rechner ohne Veeam. Eine professionelle Gruppe hätte vor der Verschlüsselung nicht nur die Backups unbrauchbar gemacht, sondern üblicherweise auch die RAIDs der SAN und NAS-Systeme über Web-Interfaces, iDrac- und ILO-Management zerstört.
Ausblick
Ob der neue Geschäftsführer bei der SIT ein neues Mindset einführen können wird? Bei den offenbarten Defiziten und nach der jüngsten Pressemeldung, die bereits mit dem neuen Geschäftsführer abgestimmt gewesen sein muss, habe ich meine berechtigten Zweifel. “SIT-Vertreter zeigten sich dennoch stolz auf ihr Team” schreibt Heise in seinem Newsticker.14 Von Einsicht keine Spur.
Warum der Abschlussbericht mit Kennzeichnung “Vertraulich” frei im Netz auf einer Forumsseite des Kreises Wermelskirchen zur Verfügung steht und die SIT-Pressemeldung so klar und deutlich als Lüge überführt, das bleibt erstaunlich.
In diesem Sinne,
Tomas Jakobs
Update vom 30.01.2024:
Der ursprüngliche Link zur PDF des Abschlussberichtes funktioniert nicht mehr, offenbar wurde die Herausnahme von SIT oder r-tec erzwungen. Dieser ist jedoch weiterhin im Web-Archiv abrufbar.
Details zu dem Passwort in Klartext in GPO ergänzt.
Der Link zum Abschlussbericht unter https://forumwk.de/wp-content/uploads/2024/01/SIT_Incident_Response_Bericht_210777_v0.15_blackened_signed_confidential.pdf funktioniert nicht mehr. Das Web-Archiv hat diesen aber weiterhin archiviert unter: https://web.archive.org/web/20240129063107/https://forumwk.de/wp-content/uploads/2024/01/SIT_Incident_Response_Bericht_210777_v0.15_blackened_signed_confidential.pdf ↩︎
https://www.powershellgallery.com/packages/PowerSploit/3.0.0.0 ↩︎
https://sit.dvinci-hr.com/de/jobs/20395/schul-it-netzwerk-und-systemadministrator-mwd-mit-schwerpunkt-zentrale-administration-rechenzentrum ↩︎
Tiefenlink auf https://notfallseite.sit.nrw/ funktioniert leider auf der SIT Seite nicht. News vom 25.01.2024 mit dem Titel “Südwestfalen-IT: Forensik-Bericht liefert Erkenntnisse zu Ransomware-Angriff - neuer Geschäftsführer der Südwestfalen IT arbeitet Vorfall auf” ↩︎
https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/troubleshoot-microsoft-defender-antivirus?view=o365-worldwide#event-id-1116 ↩︎
https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/troubleshoot-microsoft-defender-antivirus?view=o365-worldwide#event-id-1117 ↩︎
https://www.golem.de/news/ransomwarebefall-bei-suedwestfalen-it-vertraulicher-forensik-bericht-offenbart-viele-versaeumnisse-2401-181636.html ↩︎
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ravpn-auth-8LyfCkeC ↩︎
https://support.microsoft.com/en-gb/topic/ms14-025-vulnerability-in-group-policy-preferences-could-allow-elevation-of-privilege-may-13-2014-60734e15-af79-26ca-ea53-8cd617073c30 ↩︎