Schnelles Zurücksetzen kompromittierter Passwörter nach einem Ransomware-Angriff

Die Revision der Passwortverwaltung stand bereits auf der Agenda, als eine Gruppe von Cyberkriminellen schwache und kompromittierte Passwörter verwendete, um einen Ransomware-Angriff auf die Gemeinde Kalix in Schweden durchzuführen. Der Angriff im Dezember 2021 legte alle Computersysteme der Gemeinde lahm und verursachte weitreichende Probleme, von der fehlenden häuslichen Pflege für ältere Menschen bis hin zu nicht korrekt ausgezahlten Gehältern.

Die Gemeinde arbeitete mit IT-Beratern und Sicherheitsexperten eng zusammen, um innerhalb von drei Wochen das Äquivalent von drei Jahren an System-Upgrades durchzuführen.

Kenneth Björnfot, IT-Leiter der Gemeinde Kalix, erklärt, dass die Implementierung einer Lösung zum sicheren Zurücksetzen von Passwörtern unerlässlich war, bevor die 1.400 Vollzeitmitarbeiter wieder mit den Computersystemen arbeiten konnten.

„Wir haben alle Konten gesperrt und unsere Mitarbeiter darüber informiert, dass sie sich mit ihrer Mobile BankID authentifizieren müssen, um ein neues Passwort zu setzen“, sagt Kenneth. „Da alle mit BankID vertraut sind, war es für sie sehr einfach, sich zu authentifizieren und ihre Passwörter zurückzusetzen. Und aus Sicht der IT-Abteilung wissen wir, dass der Prozess sicher ist.“

Mobile BankID ist ein vertrauenswürdiges elektronisches Identifikationssystem, das in Schweden für die Authentifizierung bei Behörden, Banken, Kreditinstituten und vielen anderen Diensten, die eine vertrauenswürdige Authentifizierung erfordern, eingesetzt wird. Das System basiert auf persönlichen Identitätsnummern, die in einem Attribut im Active Directory gespeichert werden können.

Kalix verfügte bereits über die persönlichen Identitätsnummern in Active Directory, was die Einführung von Specops uReset für die Kalix-Mitarbeiter zu einer unkomplizierten Angelegenheit machte. Die Mitarbeiter riefen die entsprechende URL auf, authentifizierten sich mittels Mobile BankID und wurden aufgefordert, ein neues Passwort zu setzen. Die neuen Passwortanforderungen sind strenger, um die Verwendung von unsicheren oder bereits kompromittierten Passwörtern zu verhindern.

Die Rolle von schwachen Passwörtern

Die polizeilichen Ermittlungen zu den Ereignissen, die zu dem Ransomware-Angriff geführt haben, sind noch im Gange, aber Kenneth erklärt, dass schwache und kompromittierte Passwörter dafür verantwortlich waren.

„Wenn wir den Weg der Cyberkriminellen zurückverfolgen, können wir sehen, auf welche Konten sie Zugriff hatten und welche schwachen Passwörter verwendet wurden“, sagt Kenneth. Die Medien berichteten, dass die Angreifer bereits einige Zeit im System waren, bevor sie alle Systeme mit der Ransomware infizierten und ein Lösegeld forderten, das die Stadtverwaltung nicht zahlen wollte.

Vor der Implementierung von Specops uReset wurde die Rücksetzung von Passwörtern von den Mitarbeitern des Service Desks durchgeführt. Um ein Passwort zurückzusetzen, rief ein Mitarbeiter beim Service Desk an, nannte seine persönliche Identitätsnummer und erhielt am Telefon ein temporäres Passwort.

Es war nicht erforderlich, das temporäre Kennwort zu ändern, und oft benutzten die Mitarbeiter dieses Kennwort über lange Zeiträume hinweg, was die Sicherheit gefährdete. Ein weiteres großes Sicherheitsproblem bei diesem Verfahren ist, dass ein Krimineller sich leicht als Mitarbeiter ausgeben konnte, um ein temporäres Passwort zu erhalten, da persönliche Identitätsnummern online leicht zu ermitteln sind.

Specops uReset ermöglichte es der Gemeinde Kalix nicht nur, das Problem der Passwortrücksetzung nach dem Angriff schnell zu lösen, sondern sorgte auch dafür, dass die interne IT-Abteilung in Zukunft entlastet wird.

Nach diesem Angriff überprüfen auch andere Gemeinden ihre Sicherheitslage und die Schwachstellen im Zusammenhang mit Passwörtern. Eine schnelle Möglichkeit, dies zu tun, besteht darin, mit einer Situationsanalyse zu beginnen und ein Passwort-Audit durchzuführen, um passwortbezogene Schwachstellen aufzuzeigen. Specops Password Auditor wurde entwickelt, um passwortrelevante Schwachstellen in Active Directory zu identifizieren. Man erhält nach dem Scan einen ausführlichen Bericht, der als PDF-Datei exportiert werden kann – und das alles innerhalb weniger Minuten.