Segment 3: Daten-Traffic der Malware-Callback-Pattern aufweist, kommuniziert von einem Acme123-Server mit einer anderen IP, diesmal in Asien. Plötzlich wird eine Zero-Day-Schwachstelle bei Acme123 bekannt.
Segment 4: Ein Server weist Anzeichen einer neuen Malware auf, die die Zero-Day-Schwachstelle ausnutzt, aber es ist nicht klar, ob Daten exfiltriert wurden. Die Teams müssen nun Forensik betreiben, die Mitarbeiter benachrichtigen, die Strafverfolgungsbehörden sowie betroffene Kunden und Führungskräfte kontaktieren respektive informieren.
2. Supply-Chain-Angriff
Segment 1: Die Sales-Abteilung eines Unternehmens hat ein neues Software-Tool angeschafft, um Leads zu tracken. Dieses wird On-Premises auf einer vom Anbieter bereitgestellten, virtuellen Maschine installiert. Auf einen Due-Diligence-Prozess wurde mit Blick auf den Anbieter verzichtet, die Vertriebsleitung hat das genehmigt. In den ersten Wochen nach Einsatz des Tools häufen sich Benutzerbeschwerden in Zusammenhang mit gesperrten Konten und Kennwortfehlern. Darüber hinaus werden einige Warnmeldungen zu verschlüsselten PowerShell-Aktivitäten auf mehreren Workstations generiert.
Segment 2: Ein Sicherheitsanalyst im Team stellt fest, dass mehrere Gigabyte verschlüsselter Daten an einen in Russland gehosteten VPS gesendet wurden. Weitere Alerts tauchen auf, die auf Tools wie Mimikatz und Secretsdump hinweisen. Eine Datei namens exfil.zip mit aktuellem Zeitstempel taucht auf, die sich auf derselben Freigabeebene befindet, die auch das F&E-Team für seine geschäftskritische Tätigkeit verwendet.
Segment 3: Über Nachrichtenportale wird bekannt, dass das Lead-Tracking-Tool von staatlichen Akteuren kompromittiert wurde und eine Hintertür enthält, die einen Algorithmus zur Domänengenerierung verwendet, um die Kontrolle über den Outbound Port 443 zu übernehmen. Aus den Meldungen geht hervor, dass die Bedrohungsakteure es auf branchenspezifische Informationen abgesehen haben und nicht mit Ransomware-Kampagnen in Verbindung stehen.
3. Ransomware-Attacke
Segment 1: Das Unternehmen wird von einer Standard-Ransomware getroffen, die die meisten Enterprise-Systeme befällt und ein Prozent des jährlichen Unternehmensumsatzes innerhalb der nächsten 48 Stunden fordert. (Das Szenario sollte eine Entscheidung über diese Forderung innerhalb des vorgesehenen Zeitrahmens erfordern).
Segment 2: Unabhängig von der Entscheidung in Segment 1 eskaliert der Ransomware-Akteur die Situation weiter, veröffentlicht sensible Daten und droht, weitere folgen zu lassen, wenn das Unternehmen der Forderung nicht nachkommt (oder erneut zahlt, je nach Fall).
Segment 3: Es wird bekannt, dass die Angreifer die gestohlenen Daten außerdem dazu genutzt hat, die Kunden des Unternehmens anzugreifen, was zu massiven Breaches führt.
Segment 4: Eine Regierungsbehörde leitet Untersuchungen ein, weil sich herausstellt, dass der Ransomware-Angreifer Sanktionen unterliegt. Das verwickelt das Unternehmen, das bereits tief in der Krise steckt, in noch mehr Schwierigkeiten.
4. Chemieunfall
Segment 1: Eine Explosion ereignet sich in einem Chemiewerk zwei Kilometer von der Firmenzentrale entfernt. Die lokalen Medien berichten, dass eine unbestimmte Anzahl von Mitarbeitern des Chemieunternehmens verletzt oder getötet wurde. Unterdessen versuchen die zuständigen Behörden festzustellen, in welchem Umfang tödliche Giftstoffe in die Luft gelangt sind. Was die Explosion verursacht hat, ist nicht bekannt.
Segment 2: Die Krankenhäuser in der Region sind überfüllt mit Patienten mit Atemwegbeschwerden. Die Gesundheitsbehörden fordern die Menschen in der ganzen Region auf, vorsichtshalber “Schutzräume” aufzusuchen. Der Firmensitz befindet sich im direkten Umfeld der Explosion – das Unternehmen muss entscheiden, was es seinen Mitarbeitern raten soll. Dabei besteht Unsicherheit darüber, ob es die Belegschaft anweisen kann, die Region nicht zu verlassen. Erste Spekulationen darüber tauchen auf, dass Terroristen die Explosion verursacht haben könnten.
Segment 3: Das Unternehmen bittet die Mitarbeiter, das Gebäude nicht zu verlassen. Viele tun es trotzdem, weil sie sich um ihre Familien kümmern wollen. Das Sicherheitspersonal möchte außerdem wissen, wie es mit Menschen umgehen soll, die in der Lobby des Unternehmens Schutz suchen wollen.
Segment 4: Die unmittelbare Gefahr ist vorüber, und die Behörden erklären, dass die Explosion ein Unfall war. Mehrere Mitarbeiter wurden ins Krankenhaus eingeliefert. (fm)
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.
