Back to Blog

Wie MPS Micro Precision Systems AG
eine RansomOps Attacke erfolgreich stoppte

By
Fabian Gentinetta-Parpan
|
February 27, 2022

Wie laufen RansomOps Angriffe ab und wie kann man sie rechtzeitig stoppen? Mit dieser Frage beschäftigt sich Vectra AI in dem online Interview rund um das Thema der kriminellen Cyberangriffe. Das Gespräch fand zwischen Fabian Gentinetta, Country Manager für die Alpenregion (Schweiz, Liechtenstein, Österreich) von Vectra AI, und Urs Borter, IT System-Manager bei MPS Micro Precision Systems AG statt. 

MPS Micro Precision Systems AG ist ein in Biel ansässiger Experte für Kugellager. Das Unternehmen beschäftigt insgesamt über 400 Mitarbeiter und verfügt über Niederlassungen in Biel, Bonfol und Court. MPS Micro Precision Systems AG ist ein wichtiger Zulieferer für Medizintechnik und Orthopäden, beliefert aber auch Unternehmen aus der Uhrenindustrie, Luft- und Raumfahrt sowie Wissenschaft und Optik. 

Im Mittelpunkt des online Events steht ein RansomOps-Angriff, der in jüngster Vergangenheit auf die Systeme von MPS Micro Precision Systems AG gestartet wurde. Dabei erläutert Urs Borter genau, wie der Angriff vonstatten ging, wie er als System-Admin über die Situation informiert wurde und wie er dank der Lösung von Vectra AI rechtzeitig auf den Angriff reagieren konnte. 

Steigende Bedrohung durch RansomOps

Fabian Gentinetta geht auf die Techniken und Taktiken ein, die von RansomOps eingesetzt werden. Dabei nennt er die Kernaspekte, die RansomOps von Ransomware unterscheiden:

  • RansomOps Angriffe werden von Menschen gesteuert, während Ramsomware grössenteils als reine Software ausgeliefert wurde. Dadurch sind RansomOps Angriffe weniger gut vorhersehbar.

RansomOps sind in der Regel Credential-basiert, während Ransomware vorwiegend auf Schwachstellen hoffen musste. Die Ransomware ist bei der RansomOps Attakte nur das Endziel. Es gibt genügend Signale, die Angriffe rechtzeitig zu stoppen, bevor die Exfiltration und die Verschlüsselung passieren. 

Da es aktuell noch genügend schwach aufgestellte Unternehmen gibt, was die Cyber Defense Reife angeht und deshalb die Angreifer bisher nicht sehr kreativ werden mussten, kann man sich Stand heute mit einer „Assume Compromise Mentalität“ und Wachsamkeit, recht gut vor RansomOps schützen. 

Nach der kurzen Zusammenfassung über die Lage der RansomOps nennt Urs Borter die Gründe, warum MPS Micro Precision Systems AG die Produkte von Vectra AI nutzt: Die technische Infrastruktur des Unternehmens besteht aus teilweise veralteten Systemen - also genau der Art von Systemen, auf denen es Ransomware und RansomOps einfacher haben. Daher ist ein guter Schutz gerade für diese Infrastrukturen wichtig. Nicht jeder kann von heute auf morgen auf die neuste Hard- und Software umsteigen, daher ist eine ausreichende Absicherung dieser Systeme elementar. 

Wie Vectra AI Cyberangriffe erkennt und vereitelt

Im Rahmen des Webinars gehen Fabian Gentinetta und Urs Borter speziell auf einen RansomOps-Angriff ein, der die Systeme von MPS Micro Precision Systems AG als Ziel ausgemacht hatte. Dabei beschreibt Urs Borter im Detail, wie der Angriff ablief und wie Vectra AI bei der Abwehr helfen konnte.

Der Angriff erfolgte am Wochenende - also genau zu der Zeit, in der keine Mitarbeiter aktiv vor den Systemen sitzen. Dank einer automatisierten Response von MPS Micro Precision Systems AG wurde der Angriff nach einigen Stunden bereits gestoppt. Diese schnelle automatisierte Reaktion ist kritisch bei der Abwehr von RansomOps-Angriffen; denn oftmals werden die Angriffe zu spät erkannt, wie Fabian Gentinetta noch einmal hervorhob.

Dabei ist die Erkennung von auffälligem Verhalten nur einer der Vorteile, die Vectra AI mit seinen Lösungen anbietet. Auch die Abwehr von Angriffen gehört zum Komplettpaket, welches die Cybersecurity-Systeme von Vectra AI schnüren.

Am Ende des online Events kommt es noch zur Fragerunde. Eine Frage beschäftigt sich mit der zunehmenden Verschlüsselung vom Netzwerkverkehr und wie die netzwerk-basierte Lösung von Vectra damit umgeht. Die Antwort dazu liefert Fabian Gentinetta: Die meisten Algorithmen von Vectra können mit verschlüsseltem Verkehr umgeben, oder funktionieren alternativ durch Analyse von Logs.  

RansomOps in der Zukunft: Cloud als Risikoquelle?

Die Gefahr, die von RansomOps ausgeht, ist trotz aller Vorsichtsmaßnahmen nicht zu unterschätzen. Denn in Zukunft könnte Cloud-Native Ransomware eine ernstzunehmende Bedrohung für IT-Systeme und Unternehmen werden. In der Cloud könnte zum Beispiel ein gesamter Tenant verschlüsselt werden, wäre man im Besitz des Master Keys. Die Abhängigkeit vieler Unternehmen an diese Cloud-Lösungen wächst jedes Jahr - daher werden auch entsprechende Vorkehrungen und Sicherheitssysteme immer wichtiger. 

Genau für solche Fälle bietet Vectra AI passende Antworten. Die Vectra AI Cloud Detection and Response erkennt laufende Angriffe rechtzeitig und erlaubt es Analysten schnell zu reagieren. Verdächtige Aktivitäten von Identitäten werden erkannt und bei Überschreiten kritischer Bewertung automatisch in Quarantäne verschoben. So kann der Schaden bereits frühzeitig minimiert werden - und eine Ausbreitung verhindert werden. 

Die Case Study von MPS Micro Precision Systems AG verdeutlicht das eindrucksvoll: Dank der intelligenten Überwachungssysteme von Vectra AI konnte der Angriff bereits knapp 6 Stunden nach dem Eintritt gestoppt werden. Die schnelle Reaktion auf die RansomOps-Attacke konnte einen größeren Schaden verhindern und die Systeme von MPS Micro Precision Systems AG vor einer zeitintensiven und kostspieligen Reparatur schützen.