Accenture bestätigt LockBit-Ransomware-Angriff

  • LockBit bot die angeblichen Datenbanken von Accenture an und machte sich über die angeblich schlechte Sicherheit des Unternehmens lustig. Accenture sagt, dass die Daten aus den Backups problemlos wiederhergestellt werden konnten.

    Die LockBit-Ransomware-as-a-Service (RaaS)-Bande hat den Namen und das Logo eines ihrer jüngsten Opfer veröffentlicht: Accenture, die globale Unternehmensberatungsfirma mit Insiderwissen über einige der größten und mächtigsten Unternehmen der Welt.

    Zu den Kunden von Accenture gehören 91 der Fortune Global 100 und mehr als drei Viertel der Fortune Global 500. Laut dem Jahresbericht 2020 gehören dazu auch der E-Commerce-Riese Alibaba, Cisco und Google. Mit einem Wert von 44,3 Milliarden Dollar ist Accenture eines der größten Technologieberatungsunternehmen der Welt: Das Unternehmen beschäftigt rund 569.000 Mitarbeiter in 50 Ländern.

    In einem Beitrag auf seiner Dark-Web-Site bot LockBit Accenture-Datenbanken zum Verkauf an, zusammen mit dem obligatorischen Seitenhieb auf die nach Ansicht der Bande miserable Sicherheit von Accenture.

    “Diese Leute sind jenseits von Datenschutz und Sicherheit. Ich hoffe wirklich, dass ihre Dienstleistungen besser sind als das, was ich als Insider gesehen habe. Wenn Sie am Kauf einiger Datenbanken interessiert sind, kontaktieren Sie uns.”
    -LockBit site post.

    Screenshot der LockBit-Dark-Web-Site. Quelle: Cybereason.

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/07/10165815/infosec_insiders_in_article_promo.png]

    Nach Angaben von Security Affairs zeigte eine Leak-Site am Ende des Countdowns für die Lösegeldzahlung einen Ordner mit dem Namen W1, der eine Sammlung von PDF-Dokumenten enthielt, die angeblich aus dem Unternehmen gestohlen wurden. Die Betreiber von LockBit behaupteten, sich Zugang zum Netzwerk von Accenture verschafft zu haben und bereiteten sich darauf vor, die von den Accenture-Servern gestohlenen Dateien um 17:30:00 GMT zu veröffentlichen.

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/08/11174155/countdown-clock-300x203.png]

    Countdown-Uhr von LockBit. Quelle: Cyble.

    Die Nachricht geriet am späten Mittwochmorgen östlicher Zeit in die Schlagzeilen, nachdem CNBC-Reporter Eamon Javers getwittert hatte, dass die Bande in den nächsten Stunden Daten veröffentlichen würde und dass sie interessierten Parteien den Verkauf von Accenture-Insiderinformationen anbot.

    Eine Hackergruppe, die Lockbit Ransomware verwendet, behauptet, sie habe das Beratungsunternehmen Accenture gehackt und werde in einigen Stunden Daten freigeben, hat CNBC erfahren. Sie bieten außerdem an, Accenture-Insiderinformationen an Interessenten zu verkaufen.

    – Eamon Javers (@EamonJavers) August 11, 2021

    Gesegnet seien die Backups

    Ja, wir wurden getroffen, aber jetzt ist alles in Ordnung, bestätigte Accenture: “Durch unsere Sicherheitskontrollen und -protokolle haben wir unregelmäßige Aktivitäten in einer unserer Umgebungen festgestellt. Wir haben die Angelegenheit sofort unter Kontrolle gebracht und die betroffenen Server isoliert”, heißt es in einer Erklärung. “Wir haben die betroffenen Systeme vollständig aus dem Backup wiederhergestellt, und es gab keine Auswirkungen auf den Betrieb von Accenture oder auf die Systeme unserer Kunden.”

    Laut BleepingComputer handelt es sich bei der Gruppe, die mit der Veröffentlichung der Daten von Accenture gedroht hat – die angeblich während eines kürzlichen Cyberangriffs gestohlen wurden – um LockBit 2.0.

    Wie Tony Bradley von Cybereason in einem Beitrag vom Mittwoch erklärte, ähnelt die LockBit-Bande ihren RaaS-Brüdern DarkSide und REvil: Wie diese anderen Operationen. LockBit nutzt ein Partnermodell, um seine Ransomware-Plattform zu vermieten und erhält einen Anteil an allen Lösegeldzahlungen, die daraus resultieren.

    Bradley merkte an, dass die LockBit-Bande nach der Schließung von DarkSide und REvil offenbar auf der Suche nach neuen Mitarbeitern ist. “Der Bildschirmhintergrund, der auf kompromittierten Systemen angezeigt wird, enthält jetzt einen Text, der Insider dazu einlädt, bei der Kompromittierung von Systemen zu helfen – und der Auszahlungen in Millionenhöhe verspricht”, schrieb Bradley und bezog sich dabei auf einen kürzlich erschienenen Bericht von BleepingComputer, in dem LockBit aktiv Insider rekrutiert, die ihnen dabei helfen, in Netzwerke einzudringen und sie zu verschlüsseln.

    Insider-Job?

    Cyble-Forscher deuteten in einem Tweet-Stream an, dass es sich um einen Insider-Job handeln könnte. “Wir wissen, dass #LockBit #threatactor Unternehmensmitarbeiter angeheuert hat, um sich Zugang zu den Netzwerken ihrer Zielpersonen zu verschaffen”, twitterte das Unternehmen zusammen mit einer Uhr, die die verbleibende Zeit bis zur Auszahlung des Lösegelds durch Accenture anzeigt.

    Potentieller Insider-Job? Wir wissen, dass #LockBit #threatactor Mitarbeiter von Unternehmen angeheuert hat, um sich Zugang zu den Netzwerken ihrer Ziele zu verschaffen.#ransomware #cyber #cybersecurity #infosec #accenture pic.twitter.com/ZierqRVIjj

    – Cyble (@AuCyble) August 11, 2021

    Cyble sagte, dass LockBit behauptete, sich mit Datenbanken von über 6 TB davongemacht zu haben, und dass es 50 Millionen Dollar als Lösegeld forderte. Die Bedrohungsakteure selbst behaupteten, dass es sich um einen Insider-Job handelte, “von jemandem, der immer noch dort beschäftigt ist”, obwohl Cyble dies als “unwahrscheinlich” bezeichnete.

    Quellen, die mit dem Angriff vertraut sind, sagten BleepingComputer, dass Accenture den Ransomware-Angriff gegenüber mindestens einem Anbieter von Computer-Telefonie-Integration (CTI) bestätigt hat und dabei ist, weitere Kunden zu benachrichtigen. Laut einem Tweet der Threat-Intelligence-Firma Hudson Rock wurden bei dem Angriff 2.500 Computer von Mitarbeitern und Partnern kompromittiert, was die Firma zu der Annahme veranlasst, dass “diese Informationen mit Sicherheit von Bedrohungsakteuren genutzt wurden”.

    In einer letzte Woche herausgegebenen Sicherheitswarnung warnte das Australian Cyber Security Centre (ACSC), dass LockBit 2.0 Ransomware-Angriffe gegen australische Unternehmen im letzten Monat zugenommen haben und dass sie mit Drohungen zur Veröffentlichung von Daten in so genannten Doppelerpressungsangriffen verbunden sind. “Diese Aktivitäten sind in verschiedenen Industriezweigen aufgetreten”, heißt es in der Warnung. “Die Opfer haben Forderungen nach Lösegeldzahlungen erhalten. Zusätzlich zur Verschlüsselung der Daten haben die Opfer Drohungen erhalten, dass die bei den Vorfällen gestohlenen Daten veröffentlicht werden.

    Das ACSC stellte fest (PDF), dass es vor kurzem beobachtet hat, dass LockBit-Bedrohungsakteure bestehende Schwachstellen in den Fortinet-Produkten FortiOS und FortiProxy, die als CVE-2018-13379 identifiziert wurden, aktiv ausnutzen, um einen ersten Zugang zu bestimmten Opfernetzwerken zu erhalten. Diese Schwachstelle, ein Path-Traversal-Fehler im SSL-VPN, wurde im Laufe der Jahre in mehreren Angriffen ausgenutzt:

    Im April warnten das FBI und die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA), dass nationalstaatliche Akteure mit fortgeschrittenen anhaltenden Bedrohungen (APT) diese Schwachstelle aktiv ausnutzen, um in Netzwerken Fuß zu fassen, bevor sie sich seitlich bewegen und zum Beispiel Aufklärung betreiben.

    Bekannte Sicherheitslücke ausgenutzt?

    Ron Bradley, Vizepräsident des externen Risikomanagementunternehmens Shared Assessments, erklärte am Mittwoch gegenüber Threatpost, dass der Vorfall bei Accenture “ein Paradebeispiel für den Unterschied zwischen Business Resiliency und Business Continuity” sei. Business Resiliency ist wie ein Boxkampf, bei dem man einen Körpertreffer einstecken muss, den Kampf aber fortsetzen kann. Business Continuity kommt dann ins Spiel, wenn der Betrieb eingestellt oder stark beeinträchtigt ist und man große Anstrengungen unternehmen muss, um ihn wiederherzustellen.

    “Dieses spezielle Beispiel bei Accenture ist insofern interessant, als es sich um eine bekannte/veröffentlichte Schwachstelle handelt”, so Bradley weiter. Es unterstreicht, wie wichtig es ist, sicherzustellen, dass die Systeme rechtzeitig gepatcht werden. Die Fähigkeit von Accenture, mit den Auswirkungen potenziell gestohlener Daten umzugehen, wird für viele Unternehmen in Zukunft eine wichtige Lehre sein.”

    Hitesh Sheth, Präsident und CEO der Cybersecurity-Firma Vectra, sagte, dass alle Unternehmen mit derartigen Angriffen rechnen müssten, insbesondere aber ein globales Beratungsunternehmen mit Verbindungen zu so vielen Unternehmen. “Ersten Berichten zufolge verfügte Accenture über Datensicherungsprotokolle und hat schnell gehandelt, um die betroffenen Server zu isolieren”, erklärte er am Mittwoch gegenüber Threatpost. “Für einen außenstehenden Beobachter ist es noch zu früh, um den Schaden zu beurteilen. Dies ist jedoch eine weitere Mahnung an die Unternehmen, die Sicherheitsstandards bei ihren Lieferanten, Partnern und Anbietern genau zu überprüfen. Jedes Unternehmen sollte mit Angriffen wie diesem rechnen – vielleicht besonders ein globales Beratungsunternehmen mit Verbindungen zu so vielen anderen Unternehmen. Es kommt darauf an, wie man Angriffe voraussieht, plant und sich davon erholt.”

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/07/27093135/threatpost-webinar-300x51.jpg]Machen Sie sich Sorgen, woher der nächste Angriff kommen könnte? Wir halten Ihnen den Rücken frei. Melden Sie sich JETZT für unser kommendes Live-Webinar “How to Think Like a Threat Actor” in Zusammenarbeit mit Uptycs am 17. August um 11 AM EST an und finden Sie heraus, wo genau Angreifer es auf Sie abgesehen haben und wie Sie dort zuerst ankommen. Schließen Sie sich der Moderatorin Becky Bracken und den Uptycs-Forschern Amit Malik und Ashwin Vamshi am 17. August um 11 Uhr EST für diese LIVE-Diskussion an.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com