Section 3: Daten-Visitors der Malware-Callback-Sample aufweist, kommuniziert von einem Acme123-Server mit einer anderen IP, diesmal in Asien. Plötzlich wird eine Zero-Day-Schwachstelle bei Acme123 bekannt.
Section 4: Ein Server weist Anzeichen einer neuen Malware auf, die die Zero-Day-Schwachstelle ausnutzt, aber es ist nicht klar, ob Daten exfiltriert wurden. Die Groups müssen nun Forensik betreiben, die Mitarbeiter benachrichtigen, die Strafverfolgungsbehörden sowie betroffene Kunden und Führungskräfte kontaktieren respektive informieren.
2. Provide-Chain-Angriff
Section 1: Die Gross sales-Abteilung eines Unternehmens hat ein neues Software program-Device angeschafft, um Leads zu tracken. Dieses wird On-Premises auf einer vom Anbieter bereitgestellten, virtuellen Maschine installiert. Auf einen Due-Diligence-Prozess wurde mit Blick auf den Anbieter verzichtet, die Vertriebsleitung hat das genehmigt. In den ersten Wochen nach Einsatz des Instruments häufen sich Benutzerbeschwerden in Zusammenhang mit gesperrten Konten und Kennwortfehlern. Darüber hinaus werden einige Warnmeldungen zu verschlüsselten PowerShell-Aktivitäten auf mehreren Workstations generiert.
Section 2: Ein Sicherheitsanalyst im Group stellt fest, dass mehrere Gigabyte verschlüsselter Daten an einen in Russland gehosteten VPS gesendet wurden. Weitere Alerts tauchen auf, die auf Instruments wie Mimikatz und Secretsdump hinweisen. Eine Datei namens exfil.zip mit aktuellem Zeitstempel taucht auf, die sich auf derselben Freigabeebene befindet, die auch das F&E-Group für seine geschäftskritische Tätigkeit verwendet.
Section 3: Über Nachrichtenportale wird bekannt, dass das Lead-Monitoring-Device von staatlichen Akteuren kompromittiert wurde und eine Hintertür enthält, die einen Algorithmus zur Domänengenerierung verwendet, um die Kontrolle über den Outbound Port 443 zu übernehmen. Aus den Meldungen geht hervor, dass die Bedrohungsakteure es auf branchenspezifische Informationen abgesehen haben und nicht mit Ransomware-Kampagnen in Verbindung stehen.
3. Ransomware-Attacke
Section 1: Das Unternehmen wird von einer Customary-Ransomware getroffen, die die meisten Enterprise-Systeme befällt und ein Prozent des jährlichen Unternehmensumsatzes innerhalb der nächsten 48 Stunden fordert. (Das Szenario sollte eine Entscheidung über diese Forderung innerhalb des vorgesehenen Zeitrahmens erfordern).
Section 2: Unabhängig von der Entscheidung in Section 1 eskaliert der Ransomware-Akteur die State of affairs weiter, veröffentlicht smart Daten und droht, weitere folgen zu lassen, wenn das Unternehmen der Forderung nicht nachkommt (oder erneut zahlt, je nach Fall).
Section 3: Es wird bekannt, dass die Angreifer die gestohlenen Daten außerdem dazu genutzt hat, die Kunden des Unternehmens anzugreifen, was zu massiven Breaches führt.
Section 4: Eine Regierungsbehörde leitet Untersuchungen ein, weil sich herausstellt, dass der Ransomware-Angreifer Sanktionen unterliegt. Das verwickelt das Unternehmen, das bereits tief in der Krise steckt, in noch mehr Schwierigkeiten.
4. Chemieunfall
Section 1: Eine Explosion ereignet sich in einem Chemiewerk zwei Kilometer von der Firmenzentrale entfernt. Die lokalen Medien berichten, dass eine unbestimmte Anzahl von Mitarbeitern des Chemieunternehmens verletzt oder getötet wurde. Unterdessen versuchen die zuständigen Behörden festzustellen, in welchem Umfang tödliche Giftstoffe in die Luft gelangt sind. Was die Explosion verursacht hat, ist nicht bekannt.
Section 2: Die Krankenhäuser in der Area sind überfüllt mit Patienten mit Atemwegbeschwerden. Die Gesundheitsbehörden fordern die Menschen in der ganzen Area auf, vorsichtshalber “Schutzräume” aufzusuchen. Der Firmensitz befindet sich im direkten Umfeld der Explosion – das Unternehmen muss entscheiden, was es seinen Mitarbeitern raten soll. Dabei besteht Unsicherheit darüber, ob es die Belegschaft anweisen kann, die Area nicht zu verlassen. Erste Spekulationen darüber tauchen auf, dass Terroristen die Explosion verursacht haben könnten.
Section 3: Das Unternehmen bittet die Mitarbeiter, das Gebäude nicht zu verlassen. Viele tun es trotzdem, weil sie sich um ihre Familien kümmern wollen. Das Sicherheitspersonal möchte außerdem wissen, wie es mit Menschen umgehen soll, die in der Foyer des Unternehmens Schutz suchen wollen.
Section 4: Die unmittelbare Gefahr ist vorüber, und die Behörden erklären, dass die Explosion ein Unfall conflict. Mehrere Mitarbeiter wurden ins Krankenhaus eingeliefert. (fm)
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser E-newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.
Jetzt CSO-E-newsletter sichern
/cdn.vox-cdn.com/uploads/chorus_asset/file/25829976/STK051_TIKTOKBAN_B_CVirginia_B.jpg "TikTok ban: all the news on the app’s shutdown and return in the US")
