Entschlüsselung des Ransomware-Angriffs auf die Asahi-Brauerei

Asahi Group Holdings, Ltd., einer der führenden Bierhersteller Japans, hatte am 29. September und 3. Oktober separat bekannt gegeben, dass seine Systeme aufgrund eines Ransomware-Angriffs gestört seien. In der Folge stellte das Unternehmen die Produktion ein und führte eine Untersuchung durch, um die Ursache des Vorfalls und die betroffenen Systeme zu identifizieren. Das Unternehmen hat die Produktion nun wieder aufgenommen, und ab dem 15. Oktober hat die Asahi-Brauerei auch mit der teilweisen Auslieferung verschiedener Produkte, einschließlich Asahi Draft Beer und Asahi Dry Zero, begonnen.

Lesen Sie hier unsere Analyse des Vorfalls bei Jaguar Land Rover hier.

Um den Angriff auf die Asahi-Gruppe zu verstehen, müssen wir zunächst die TTP der Qilin-Ransomware-Gruppe verstehen, den Bedrohungsakteur hinter dem Vorfall. In einer Nachricht, die am späten Abend des 7. Oktober auf ihrer Website veröffentlicht wurde, beanspruchte die in Russland ansässige Qilin-Gruppe die Verantwortung für den Verstoß. Dies war nur eine Woche nach Bekanntwerden des Angriffs. Qilin ist in den letzten Jahren zu einem bedeutenden Bedrohungsakteur geworden und war für bis zu 48 Prozent der in den letzten zwei Jahren gemeldeten Verstöße verantwortlich. Die Gruppe hat die Affiliate-Netzwerke von ehemaligen Bedrohungsakteuren übernommen. Sie arbeitet auch eng mit einer bekannten APT-Gruppe aus der gleichen Region zusammen.

Qilin Gruppen-TTP

Aktiv seit: 2021/22
Herkunft: Russland
Betriebsmodell: RaaS

Hauptstärken:

·  Fähigkeit, maßgeschneiderte Angriffe im industriellen Maßstab durchzuführen

·  Untergrundverbindungen zu nordkoreanischen Bedrohungsakteuren, die sowohl bei der Modifikation der Malware als auch bei der Durchführung von Sekundärangriffen und dem Verkauf gestohlener Daten helfen

·  Qilin betreibt eines der größten Ransomware-Affiliatennetze der Welt. Dies ermöglicht einen schnelleren Transfer und Verkauf gestohlener Daten und Zugänge

·  Zugang zu Sekundärmärkten für den Erwerb gestohlener Zugangsdaten

·  Bestehen auf der Validierung gestohlener Anmeldedaten vor Beginn des tatsächlichen Angriffs

·  Die Gruppe reserviert einen großen Teil des Lösegelds für ihre Affiliates

·  Verwendung von Datenlecks, um Affiliates anzulocken und zu rekrutieren. Dies ist die einzige Gruppe, die dafür bekannt ist, gestohlene Daten manchmal kostenlos an potenzielle Affiliates abzugeben.

Ein typischer Angriff beginnt mit einer Phishing-E-Mail, die geschickt erstellt wurde, um so auszusehen, als würde sie von einem Managed Service Provider stammen. Die E-Mail wird zu einem Zeitpunkt gesendet, an dem die Zielmitarbeiter beschäftigt sind und nicht genug Aufmerksamkeit aufbringen können. Die E-Mail fälscht eine Authentifizierungswarnung, in der die Mitarbeiter aufgefordert werden, ihre Anmeldedaten im Rahmen eines laufenden System-Upgrades erneut einzugeben.  

Sobald der Mitarbeiter auf den Link klickt, wird er auf eine gefälschte Website umgeleitet, die in jeder Hinsicht echt aussieht. Sobald ein Mitarbeiter seine Anmeldedaten auf der gefälschten Website eingibt, wird die Multi-Faktor-Authentifizierung durch ein Einmalpasswort (OTP) ausgelöst. Einmal in der gefälschten Website eingegeben, gelingt der Einbruch, wobei der Angreifer Zugang zu netzwerkbasierten Anmeldeinformationen erhält.

Die Gruppe führt umfassende Nachforschungen und Datenexfiltration durch, um:

· Ein aktives Lieferantenverzeichnis zu identifizieren, das alle wichtigen Anbieter mit App- oder Portal-basiertem Zugang zu Diensten enthält

· Admins und Superadmins auf solche Anwendungen abzubilden, um sie gezielt anzugreifen

· Die Gruppe agiert mit großer Sorgfalt sowohl bei der Identifizierung des Ziels als auch bei der Mitteilung

Sobald der Bedrohungsakteur Zugriff erlangt, wird eine Reihe von Schritten in der folgenden Reihenfolge ausgelöst:

· Installation einer Remote-Desktop-Zugriffsanwendung

· Mehrstufige Aufklärung über Zielnetzwerke

· Ausnutzung von CVEs

· Gezielte Sicherungen für die Exfiltration

· Einsatz eines mehrstufigen Ransomware-Deployments und öffentliche Benennung des Opfers

· Verwendung von Drucktaktiken, um das Opfer zur Zahlung des Lösegelds zu bewegen

· Verkauf der extrahierten Daten

Wie fand der Cyberangriff auf die Asahi-Brauerei statt?

Wir haben keinen Grund zu der Annahme, dass der Bedrohungsakteur einen anderen Weg zur Daten- und Ransomware-Bereitstellung als den oben genannten im Falle des Ransomware-Angriffs auf die Asahi-Brauerei gewählt hätte. Der Bedrohungsakteur hat möglicherweise über eine gefälschte Website, die per E-Mail gesendet oder in ein Dokument eingebettet ist, das möglicherweise über eine soziale Plattform geteilt wurde, Zugriff erhalten. Sobald der Bedrohungsakteur Zugriff erlangte, wurde die lineare Bewegung gestartet, wobei der Bedrohungsakteur über die Ransomware durch Privilegieneskalation mehr Anmeldedaten erhielt. Der Angriff zielte speziell auf die Abteilungen Finanzen und Personalressourcen ab.

Qilin-Gruppe exfiltrierte fast 27,3 GB Daten (über 9673 Dokumente), verteilt auf verschiedene Systeme, darunter HR-Dokumente (einschließlich einer Reihe vertraulicher Mitarbeiterbewertungen), Finanzdokumente einschließlich rechtlicher Informationen und interner Notizen, Verträge und interne, teambasierte operationale Aufzeichnungen. Die Gruppe ging auf vertrauliche Berichte und Informationen von besonderem Interesse für Investoren und Regulierungsbehörden, um mehr Druck auf die Asahi Group Holdings auszuüben, Lösegeld zu zahlen.

Der Bedrohungsakteur zielte auch auf mehrere Back-ups, und das Ausmaß des Angriffs lässt sich daran messen, dass sogar das Bestellsystem bis letzte Woche ausgefallen war und das Unternehmen gezwungen war, Bestellungen per Fax anzunehmen und mit Stift und Papier zu dokumentieren. Zum Zeitpunkt der Erstellung dieses Berichts wurde auch ein anderes japanisches Unternehmen in der Immobilienbranche von Qilin angegriffen. Es ist möglich, dass beide Ereignisse durch einen bekannten lokalen Qilin-Affiliate in Nordkorea koordiniert wurden (diese Gruppe hat enge Verbindungen zu Nordkorea). 

Die bei dem Angriff eingesetzte Malware war NETXLOADER, eine heimliche Malware, die auf einem .NET-basierten Malware-Loader läuft. Dieser Loader kann verwendet werden, um mehrere Payloads auszuführen, und das erklärt, warum verschiedene Abteilungen innerhalb der Asahi-Brauerei kompromittiert wurden. Zudem sorgte die phasenweise Ausführung auch dafür, dass sowohl der Loader als auch die Malware eine sehr hohe Tarnung hatten und über einen gewissen Zeitraum unentdeckt bleiben konnten.   

Nachdem der Angriff erfolgreich war, forderte Qilin die Asahi-Brauerei auf, sich einem verschlüsselten Chat anzuschließen, um Verhandlungen aufzunehmen.

Wie können Vorfälle wie der Cyberangriff auf die Asahi-Brauerei verhindert werden?

· Überwachen Sie das Dark Web und andere Domains, die Anmeldedaten verkaufen, auf Informationen, die mit Ihrer Infrastruktur verknüpft sind. Ändern Sie Ihre Passwörter, sobald Sie dieses Dokument gelesen haben.

· Achten Sie mehr auf VPNs und andere Fernzugriffsmöglichkeiten. Überprüfen Sie, ob sie ausreichend gesichert sind.

· Mitarbeiter sollten ermutigt werden, alle Fälle von Phishing und Vishing zu melden. Die frühzeitige Erkennung solcher Versuche kann helfen, eine mögliche Offenlegung von Anmeldedaten zu identifizieren oder zumindest   

· Der logische Ort, um zu beginnen, ist in der Regel die Sensibilisierung der Mitarbeiter. Es ist wichtig sicherzustellen, dass die Mitarbeiter sich der TTPs von Bedrohungsakteuren wie Qilin bewusst sind, damit sie nicht auf die von ihnen angewandten Techniken hereinfallen.

· Eine ausreichende Segmentierung zwischen Netzwerken ermöglicht eine schnellere Eindämmung von Bedrohungen

·  Systeme und Anwendungen, die nicht genutzt werden, abschalten.

Für einen detaillierteren Aktionsplan wenden Sie sich an unser Incident Response Readiness Assessment Team hier.

Laden Sie den detaillierten Bericht über den Zwischenfall bei der Asahi-Brauerei herunter.

Laden Sie unseren SecOps-Leitfaden: ISA/IEC 62443 Compliance Strategie und Checkliste hier herunter.

Holen Sie sich ein kostenloses Exemplar der Shieldworkz OT Cybersecurity Policy Template hier.