Barracuda full logo

Die SOC-Fallakten: Mit Python bewaffnete Ransomware-Bande taucht vor einer Mauer aus XDR-Abwehr wieder auf

Themen:
14. Mai. 2025
|

Das Managed XDR-Team von Barracuda hat kürzlich einen mutmaßlichen Ransomware-Angriff eingedämmt, bei dem die Angreifer vor der Installation von XDR Zugriff auf das Netzwerk eines Unternehmens erlangt hatten und mehrere Windows-Computer sowie ein Administratorkonto kompromittierten. Als die Angreifer zurückkehrten, um den Angriff abzuschließen, war eine Suite von Barracuda Managed XDR-Lösungen vorhanden, über die der Angriff verfolgt, eingedämmt und neutralisieren werden konnte.

Zusammenfassung des Incidents

  • Irgendwann vor der Bereitstellung von Barracuda Managed XDR verschaffte sich eine mutmaßliche Ransomware-Bande Zugriff auf das Netzwerk des anfälligen Unternehmens und kompromittierte zwei Rechner sowie ein Administratorkonto.
  • Als die Angreifer jedoch den Hauptangriff starten wollten, konnte eine mittlerweile installierte Suite von Managed-XDR-Lösungen die Angriffsaktivitäten trotz der bestehenden Sicherheitsverletzung erkennen, überwachen, eindämmen und neutralisieren.
  • Den Angreifern gelang es nicht, sich weiter auszubreiten und erheblichen Schaden anzurichten, obwohl sie geplante Aufgaben erstellten, sich seitlich bewegten, weitere Rechner mit einer Python-basierten bösartigen Nutzlast infizierten, die Befehls- und Kontrollsysteme (C2) kontaktierten und eine kleine Datenmenge von einer infizierten Maschine exfiltrierten.
  • Die vereinte Leistung von Managed XDR Server Security, Endpoint Security und Network Security isolierte die infizierten Rechner und lieferte Erkenntnisse aus Firewall-Protokollen, die die C2-Kommunikation und -Exfiltration enthüllten. So wusste der Kunde genau, was passiert war, und konnte potenzielle Ausfälle vorhersehen, Lücken schließen und den Schutz für die Zukunft verstärken.

Barracuda Managed XDR ist ein Dienst für erweiterte Transparenz, Erkennung und Reaktion, der von einem erfahrenen Security Operations Center (SOC) unterstützt wird und Kunden rund um die Uhr mit Fachleuten und KI-unterstützten Diensten zur Bedrohungserkennung, -analyse und -minderung betreut, um sie vor komplexen Bedrohungen zu schützen.

Wie der Angriff ablief

Um 8:33 Uhr entdeckte das SOC von Barracuda die Erstellung einer verdächtigen geplanten Aufgabe im Netzwerk eines Managed XDR-Kunden. Das Team alarmierte den Kunden umgehend. Es stellte sich heraus, dass es sich um einen sich entwickelnden Ransomware-Angriff handelte, der tatsächlich einige Zeit vor der Installation von Barracuda Managed XDR durch das Unternehmen begonnen hatte.

Der Ransomware-Bande war es gelungen, Zugriff auf das Netzwerk zu erlangen und zwei Maschinen zu kompromittieren, darunter einen Windows-Server sowie ein Konto mit Administratorrechten.

Als die Angreifer jedoch zurückkehrten, um den Hauptangriff zu starten, hatte das Opfer bereits eine Suite von Barracuda Managed XDR-Diensten implementiert, darunter Managed XDR Endpoint Security, Server Security und Network Security. Diese Dienste waren gemeinsam in der Lage, den sich entwickelnden Vorfall zu verfolgen und einzudämmen.

Der Hauptangriff

Eine Stunde nach der Erstellung der verdächtigen geplanten Aufgabe hatte sich der „Administrator“ durch das Netzwerk bewegt, um drei weitere Geräte mit einer gezippten Python-Datei namens python3.12.zip zu infizieren, die dann über PowerShell entpackt wurde.

Es wurden auch zusätzliche geplante Aufgaben mit zufälligen Namen wie \Task_e8ixq, T\Task_258bd060, \Task_f6isq und \Task_e8ixq erstellt.

Die entführten Rechner pingten gelegentlich ihren Command-and-Control-Server (C2) an.

Die Cybersecurity-Analysten erkannten diese Aktivität und stellten die Rechner unter Quarantäne, um zu verhindern, dass sie weiter mit dem Netzwerk interagieren und den Angriff verbreiten.

Das Team identifizierte außerdem die Datei-Hashes des bösartigen Codes und fügte sie der Sperrliste hinzu. Auf diese Weise konnte das SOC alle anderen Instanzen der Dateien in der Umgebung unter Quarantäne stellen.

Mithilfe von Firewall-Protokollen, die über Managed XDR Network Security gesammelt wurden, konnte das SOC-Team Beweise für die C2-Kommunikation mit drei der fünf infizierten Geräte finden. Es entdeckte auch Anzeichen für eine Datenexfiltration, wobei eine kleine Menge an Daten von einem der kompromittierten Rechner an ein externes Ziel gesendet wurde.

Im Namen des Kunden versuchte das SOC-Team, über SOAR (Security Automation and Response) und Automated Threat Response (ATR) die mit dem C2-Server verknüpfte bösartige IP-Adresse zu blockieren. Aufgrund einer Fehlkonfiguration war der Blockierungsversuch jedoch nicht erfolgreich. Stattdessen arbeitete das SOC mit dem Kunden zusammen, um die Sperrliste schnell direkt zu seiner Firewall hinzuzufügen.

Dank des Einsatzes von Managed XDR konnten die Angreifer keinen wirklichen Schaden anrichten.

Ransomware-Angreifer kehren zurück und stoßen auf XDR

Das haben wir gelernt

Trotz des früheren Sicherheitsvorfalls, der den Angreifern Zugang zum Netzwerk verschaffte, ermöglichte die vom Zielunternehmen eingesetzte Suite von Managed XDR-Diensten die Erkennung, Verfolgung und Blockierung des Angriffs.

Barracuda Managed XDR Server Security hat die verdächtigen geplanten Aufgaben auf dem Server erkannt, und das SOC hat diese Ereignisse dank Managed XDR Endpoint Security zu verschiedenen Endpunkten zurückverfolgt. Zusätzlich ermöglichte Managed XDR Network Security dem SOC-Team, die Kommunikation mit der IP-Adresse des bösartigen C2 zu identifizieren.

Durch die Zusammenarbeit der Dienste erhielt das zuvor kompromittierte Opfer einen umfassenden Schutz, der die Verweildauer von Eindringlingen sowie den Schaden und die Störung drastisch reduzierte.

Weitere Informationen zu Barracuda Managed XDR und SOC finden Sie auf der Website. Aktuelle Informationen zu neuen Funktionen und Upgrades sowie neuen Erkennungen für Barracuda Managed XDR finden Sie in den neuesten Versionshinweisen.

Warum geplante Aufgaben ein Security-Warnsignal sein können

Die erste Security-Warnung in diesem Vorfall wurde durch die Erstellung einer verdächtigen geplanten Aufgabe ausgelöst. Ransomware-Angreifer nutzen häufig geplante Aufgaben, um verschiedene Phasen des Angriffs zu automatisieren und seine Auswirkungen zu maximieren, während gleichzeitig die Wahrscheinlichkeit einer Entdeckung sinkt.

Angreifer erstellen geplante Aufgaben aus mehreren Gründen, darunter:

  • um die Ransomware-Nutzlast zu einem bestimmten Zeitpunkt freizusetzen
  • um den Zugriff auf das Netzwerk aufrechtzuerhalten, z. B. durch die Planung von Aufgaben, um Malware in regelmäßigen Abständen erneut auszuführen, selbst wenn sie entdeckt und entfernt wurde
  • um die heimliche Datenexfiltration zu unterstützen, beispielsweise durch das regelmäßige Erfassen und Entfernen von Daten
  • um Antivirus-Software, Firewall-Schutz oder Systemwiederherstellungs-Tools zu deaktivieren, was es dem Security-Team erschwert, den Vorfall zu beheben oder den vorigen Zustand wiederherzustellen
  • um Ransomware an verbundene Geräte im gesamten Netzwerk zu verbreiten
  • um Spuren von Angriffsaktivitäten nach der Verschlüsselung zu löschen und es den Sicherheitsteams so zu erschweren, den Ablauf des Angriffs zu untersuchen.
Erfahren Sie, was es Neues bei Barracuda Managed XDR gibt
Verwandte Beiträge:
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 Die SOC-Fallakten: Die Akira-Ransomware nutzt das Remote-Management-Tool des Opfers gegen sich selbst
Die SOC-Fallakten: Die Akira-Ransomware nutzt das Remote-Management-Tool des Opfers gegen sich selbst
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.