Die Fachhochschule Nordwestschweiz (FHNW) wurde Opfer eines Ransomware-Angriffs. Die Gruppierung Fog hat ihre GitLab-Umgebung kompromittiert und Daten gestohlen. Diese wurden ohne die übliche Lösegeldforderung im Darknet publiziert. Im Interview mit dem Journalisten Daniel Schurter diskutiert Marc Ruef die technischen, wirtschaftlichen und geopolitischen Hintergründe dieses unüblichen Falls. Der Beitrag ist auf Watson erschienen.

Kannst du zur FOG-Operation eine generelle Einschätzung geben bezüglich Tactics, Techniques und Procedures?

Fog ist bekannt für das Nutzen von gestohlenen oder kompromittierten VPN-Zugängen.

Man konnte beobachten, dass sie in einem zweiten Schritt Hashes abfangen und für eine Authentisierung missbrauchen. Auf kompromittierten Windows-Systemen lesen sie die abgespeicherten Passwörter aus, um ihre Rechte zu erweitern.

Danach bemühen sie sich um ein «Backdooring» und legen neue Benutzerkonten an oder installieren Fernzugriffe über RDP oder SSH.

Nach der Kompromittierung werden die Daten via Archiven (7zip oder WinRar) exfiltriert und lokal verschlüsselt. Um eine eigenmächtige Wiederherstellung durch die Opfer zu verhindern, werden gezielt bestehende Backups gelöscht. Das Vorgehen kann also als «state of the art» bezeichnet werden.

Wie beurteilst du die Vorgehensweise bei den GitLab-Hacks?

In GitLab werden immer wieder Schwachstellen entdeckt. Momentan sind nahezu 700 Schwachstellen seit 2017 bekannt geworden. In diesem Jahr sind es schon 25. Sobald neue Schwachstellen gefunden werden, versuchen böswillige Akteure diese für sich auszunutzen. Über welche Schwachstelle der Angriff genau stattgefunden hat, wird gegenwärtig noch immer spekuliert.

Angriffe auf GitLab können Organisationen empfindlich treffen. Betriebsgeheimnisse oder sensitive Daten (z.B. Passwörter) könnten gestohlen werden. Oder die Entwicklung eines Produkts könnte massgeblich eingeschränkt werden. Der Druck auf die betroffenen Organisationen kann dementsprechend immens sein.

Es ist aber fragwürdig, warum eine durch Geld getriebene Ransomware-Gang die gestohlenen Daten frei zur Verfügung stellt. Entweder sind sie selber der Meinung, dass die Daten auf dem Schwarzmarkt keinen Wert haben. Oder sie wollen dadurch Macht demonstrieren.

Gibt es weitere Erkenntnisse?

Die geografische Herkunft von Fog ist nach wie vor unklar. Unsere Analysen deuten aber auf die Herkunft China, mit vereinzelten Verbindungen zu Russland, hin.

Links

• https://vuldb.com/de/?actor.fog
• https://vuldb.com/de/?product.gitlab:community_edition
• https://www.watson.ch/digital/ransomware/408205938-ransomware-operation-fog-hackt-fhnw-daten-im-darknet-geleakt

Tags