25years img-one
25years img-two
25years img-three
Zum Inhalt springen

Daniel Mettler Web Ransomware Angriff auf 2sic Hosting abgewehrt 😢 (laufend aktualisiert)

Ransomware Angriff auf 2sic Hosting abgewehrt 😢 (laufend aktualisiert)

Am Karfreitag griffen Hacker das 2sic Hosting an, um Lösegeld zu fordern. Gottseidank konnten wir rechtzeitig eingreifen.

Leider mussten wir zur Sicherheit alle Systeme offline nehmen und das ganze Osterwochenende durcharbeiten, um alles mehrfach zu prüfen und weitere Schutzmassnahmen zu ergreifen. Dadurch waren die meisten Websites/Shops etwa zwei Tage offline. 

Nach ausgiebiger Analyse gehen wir davon aus, dass weder Daten entwendet  noch beschädigt wurden.

Der Vorfall haben wir bereits dem BACS (früher MELANI) gemeldet.

Aktueller Status

Aktualisiert 2025-04-29 12:00

Beim inbetriebnehmen von weiteren Schutzmassnahmen kam es in den letzten Tagen vermehrt zu ausfällen, da ein Teil der neuen Massnahmen den Betrieb erschwerten. Der letzte Ausfall war heute morgen. Um die Kunden nicht weiter zu belasten, werden wir die weiteren Massnahmen ab jetzt nur noch zu Randstunden aufgleisen.

  1. Alle Websites sind live
  2. Alle Online-Shops sind live
  3. Alle Web-Applikationen (wie 2reserve, azing.org, etc.) sind live
  4. Alle SharePoint Umgebungen sind live.
  5. Im SharePoint sind die Benutzerverwaltungen noch nicht aktiv, diese müssen aufgrund von weiteren Schutzmassnahmen überarbeitet werden. Wenn du kurzfristig ein Login erfassen / anpassen musst, bitte den Support kontaktieren. 
  6. Gewisse optimierungen sind z.Z. noch nicht aktiv, d.h. die Seiten sind etwas langsamer als üblich. 

Wir arbeiten weiterhin an vorkehrende Schutzmassnahmen. Daher müssen wir manchmal gewisse Systeme neu starten, was weiterhin zu kurzen unterbrüchen führen kann.  

Was ist ein Ransomware Angriff?

Hacker scannen regelmässig das ganze Internet ab nach Sicherheitslecks. Dies mit dem Ziel, Servers zu finden, die sie dann verschlüsseln können um Lösegeld zu fordern. 

Diese Angriffe sind nicht gezeilt auf eine Firma. Es wird einfach rundum geschaut, wo ein Türspalt offen ist, und danach wird gearbeitet.

Eine uns bekannte Firma, die Opfer eines solchen Angriffs wurden, wurde aufgefordert ihren Jahresabschluss einzureichen, um eine "angemessene" Lösegeldsumme zu berechnen. 

Um Lösegeld zu erpressen muss das Opfer in einer Notsituation ohne Alternativen sein. Deshalb braucht ein gelungener Angriff viel Zeit. Denn es reicht nicht, die Systeme zu verschlüsseln - auch die Backups müssen zerstört werden. Nur so kann man "erfolgreich" erpressen.  

Zusammenfassung des Angriffs

Am Karfreitagmorgen nutzten Hacker ein Sicherheitsleck aus, und haben damit schrittweise höhere Rechte angeeignet, mit dem Ziel, die Servers zu verschlüsseln und Lösegeld zu fordern. Der Zeitpunkt wurde vermutlich gewählt, in der Annahme, dass am Osterwochenende niemand arbeitet und die Zeit reicht, um umfassenden Schaden anzurichten.

Die Angreifer konnten innert weniger Stunden auf mehrere Server zugreifen. Dabei schlugen verschiedene Alarme an, und der Angriff konnte gestoppt werden.

Zur Sicherheit musste das Security-Team alle Systeme herunterfahren. Danach wurden alle Systeme von der Vornacht zurückgesichert, detailliert analysiert (um allfällige versteckte Programme zu orten), gehärtet und wieder in Betrieb genommen. Dadurch waren die meisten Websites etwa 2 Tage an diesem Wochenende offline. 

Der Angriff wurde detailliert ausgewertet um den Ausmass der Aktivitäten zu verstehen und um nachzuvollziehen, wie die Angreifer vorgegangen sind. Daraus wurden weitere Schutzmassnahmen umgesetzt, um in Zukunft besser vorbereitet zu sein. 

Nach ausgiebiger Analyse gehen wir davon aus, dass weder Daten entwendet wurden, noch dass Daten unwiderruflich beschädigt werden konnten. 

Zeitlicher Ablauf des Angriffs

Angriff am Karfreitagmorgen

Die Hacker haben ein Sicherheitsleck ausgenutzt, mit dem Sie in der Lage waren, auf einem  Webserver einfache Kommandozeilen auszuführen - wie beispielsweise "dir" um die Liste von Dateien eines Ordners abzufragen.

Die Lücke wurde vermutlich schon vor längerem gefunden, aber es sieht so aus, als ob sie gezielt den Karfreitag abwarteten, damit sie "im besten Fall" das ganze Wochenende Zeit haben, um die Servers einzunehmen. Das wäre ihnen auch gelungen, hätten wir nicht umfassende Überwachungssysteme, welche Alarm schlugen.

Entsprechend zeigen die Protokolle, dass sie am früheren Morgen des Karfreitags begannen, einzelne einfache Befehle abzusetzen, wie "dir" (Dateien auflisten) oder "whoami" (welcher Benutzer ist gerade in Verwendung). 

Da die Webserver restriktiv eingerichtet waren, konnten sie damit zuerst nicht viel erreichen, aber aufgrund der Protokolle wissen wir, dass sie letztendlich einen Ordner fanden, in den sie Dateien schreiben konnten. 

Hier begannen sie in stundenlanger Arbeit Schrittweise Befehle auszuführen, um in diesen Ordner Dateien abzulegen, die sie dann ausführen konnten. Mit der Zeit gelang es ihnen,  einfache, harmlose Adminools zu installieren. Das sind oft Tools, die ein legitimer IT-Spezialist auch verwenden würde, und daher vom Anti-Virus nicht erkannt werden. Mit diesen Tools konnten sie sich Schrittweise höhere Rechte auf dem Webserver erkämpfen.

Als sie höhere Rechte erhielten, installierten sie zuerst versteckte Programme. Diese sollten sicherstellen, dass sie später wieder "eintreten" können, falls wir das Sicherheitsleck finden und schliessen.

Danach installierten sie weitere Tools, um an Systempasswörter zu gelangen. Damit kopierten sie die Tools auf andere Servers und konnten so auf 5 weitere Servers zugreifen. 

Angriffs-Abbruch und Start der Verschlüsselung

Da deren Arbeit Alarme ausgelöst hatte, began unser Security-Team die Servers anzuschauen und stellten dabei ungereimtheiten fest. 

Die Hackers haben dies bemerkt, und haben daher die Verschlüsselungsprogramme gestartet. Nun schlugen weitere Überwachungssysteme an und erkannten, dass unlautere Ransomware unterwegs war. Die Überwachungssysteme haben diese dann gestoppt und isoliert.

Zeitgleich erkannte das 2sic security team, dass die Infektion bereits mehrere Systeme betroffen hat. Bei einer solchen Infektion ist das Ausmass schwer abzuschätzen, weshalb es wichtig war, zuerst alle Systeme zu stoppen und die situation zu analisieren. Entsprechend wurden alle Servers im 2sic Hosting um etwa 11:00 am Freitagmorgen angehalten um weiteren Schaden und eine weitere Ausbreitung zu verhindern.

Bereinigung und "Hardening"

Detektivarbeit

Zuerst mussten wir Detektivarbeit leisten um den Hergang des Angriffs zu verstehen, und das ursprüngliche Sicherheitsleck zu finden. Danach mussten wir erarbeiten, wie die Hacker in der Lage waren, sich schrittweise mehr Rechte zu erkämpfen und sich "lateral" bzw. seitwärts auf weitere Systeme zu bewegen.

Dies war sehr wichtig, da wir einerseits das Leck stopfen mussten, aber uns auch für die Zukunft vorbereiten, wenn ein anderes Sicherheitsleck auftaucht. 

Aus Sicherheitsgründen können wir hier keine Erkenntnisse veröffentlichen, aber wenn du mal Hilfe braucht um dich besser zu wappnen - oder weil du angegriffen wurdest - helfen wir gerne. 

Wiederherstellung

Bei der Wiederherstellung gingen wir davon aus, dass alle Systeme grundsätzlich als kompromitiert gelten. Deshalb wurden alle Betriebssysteme von der Vornacht wiederhergestellt, aber so, dass die Daten (Mails, Shop-Bestellungen etc.) weiterhin den letzten Stand vom Freitagmittag hatten. 

Aber auch die wiederhergestellten Systeme behandelten wir so, als ob sie kompromitiert sein könnten. Entsprechend wurde jedes System einzeln vertieft analysiert bevor wir es wieder aufschalten konnten. Das benötigte fast 2 Tage, weshalb auch die Websites sehr lange offline waren. 

Hardening

Da es möglich ist, dass die Angreifer diesen Blog auch lesen, können wir keine detaillierten Angaben machen zu den ergriffenen Massnahmen. Wir haben jedoch jeden Aspekt des Angriffs analysiert und umfassende Optimierungen vorgenommen, um in Zukunft besser gewappnet zu sein für solche Situationen

Abschlusswort

Diese Notfallübung war eine riesige Herausforderung für unser Team. Wir mussten das ganze Osterwochende durcharbeiten um die Systeme wieder herzustellen, vertieft zu prüfen und zu härten. 

Ich möchte mich bei allen betroffenen Kunden für die Ausfälle entschuldigen. Wir hoffen, dass ihr Verständnis habt für die Situation und unserem Vorgehen, welches 2 bis 3 Tage Ausfall verursacht hat. Es war immer mit dem dem Ziel, die bestmögliche Sicherheit für unsere Kunden und deren Daten sicherzustellen. 

Einerseits sind wir sehr dankbar, dass unsere bisherigen Vorbereitungen und Schutzmassnahmen gegriffen haben, und somit kein grösserer Schaden entstanden ist. Andererseits haben wir sehr viel daraus gelernt, und können so die Systeme noch umfassend besser schützen.

Ich möchte einen besonderen Dank an Peter, Metin und Beni aussprechen, welche die ganzen 4 Tage durchgearbeitet haben, um alles wiederherzustellen. 

Frohe Ostern,
Daniel

Tag:
Daniel Mettler

Der Lebensweg, wie auch der berufliche Werdegang von Daniel Mettler ist ungewöhnlich. Er ist im Dschungel von Indonesien aufgewachsen und erlernte bereits im jugendlichen Alter von 12 die Programmiersprache Basic.

Heute kann er zurückblicken auf bereits 25 Jahre Erfolgsgeschichte – er ist der Inhaber (Gründer) der 2sic Internet Solutions GmbH (CH und FL), CEO von einem 20-köpfigen Team von Web-Spezialisten mit über 1000 DNN und 200 SharePoint Projekten.

Nennenswert ist auch, dass er der leitende Architekt von 2sxc ist, einem Open-Source Modul für die Erstellung von attraktivem Inhalt und DNN Applikationen. Für seine Arbeit wurde er von Microsoft zum MVP ernannt.

Lesen Sie mehr Beiträge von Daniel Mettler
Zurück zur Blog-Startseite
Vorheriger Beitrag: SharePoint-Intranet aufbauen: 7 Dinge, die du unbedingt beachten solltest

Buschtrommeln Erhalte wertvolle Tipps, Anleitungen und Infos

Einfach E-Mail-Adresse eingeben und die neusten Nachrichten, Updates, Anleitungen und Tipps von 2sic und rund um den digitalen Dschungel erhalten.

Social Network Oder/und folge uns auf unseren anderen sozialen Kanälen