Anzeige

Ransomware

Durch die zunehmende Konvergenz von Informationstechnologie (IT) und industrieller Betriebstechnik (OT) wird Ransomware zu einem wachsenden Problem für all diejenigen, die mit der Verteidigung industrieller Steuerungssysteme (ICS) betraut sind.

Aus ihrer OT-zentrierten Perspektive heraus müssen sie die aktuelle Bedrohungslage verstehen: Mehr als drei Jahre nach NotPetya haben sich die Ransomware-Taktiken erheblich weiterentwickelt – und sie werden sich auch weiterhin an neue Gegebenheiten und Möglichkeiten anpassen.

Ransomware wird immer zielgerichteter

In den letzten Jahren wurden Ransomware-Angriffe immer ausgefeilter, raffinierter und gezielter. Die klassischen Kampagnen nach dem Gießkannen-Prinzip finden sich heute nur noch selten. Einer der Gründe für diesen grundlegenden Strategiewechsel könnte in den verstärkten Bemühungen der Unternehmen liegen, nach WannaCry und NotPetya ihre Angriffsflächen deutlich zu minimieren. Die Cyberkriminellen wählen ihre Ziele mit Bedacht aus. Wesentliche Faktoren sind hierbei die Zahlungskraft des Opfers sowie dessen (aus Sicht der Angreifer) möglichst geringen Toleranz für Betriebsunterbrechungen. Ist beides gegeben, steigt die Wahrscheinlichkeit, dass die Lösegeldforderungen erfüllt werden. Der ausgesprochen disruptive Angriff auf Honda im Juni ist ein gutes Beispiel für diese Herangehensweise. Die Attacke störte die globalen Betriebsabläufe, einschließlich der Herstellungsprozesse, und demonstrierte damit, wie eine bewusstere Infektionsstrategie zu einem höchst schädlichen Angriff führen kann.

Ransomware beschränkt sich nicht auf die IT-Umgebung eines Unternehmens

Der NotPetya-Ransomware-Angriff vom Juni 2017 stellt sicherlich einen Wendepunkt für die OT-Sicherheit dar. Die weltweiten Auswirkungen dieses Angriffs auf OT-Umgebungen in einer Vielzahl von Branchen machen ihn zum wahrscheinlich kostspieligsten und zerstörerischsten Cyberangriff der Geschichte. Gleichzeitig diente er als Weckruf für viele CISOs und andere Entscheidungsträger, die bis dato fälschlicherweise angenommen hatten, dass Ransomware-Bedrohungen auf den IT-Bereich beschränkt seien. Es hat sich jedoch gezeigt, dass in Wirklichkeit ein erfolgreicher Lösegeld-Angriff verheerende Auswirkungen auf die OT (und damit auf die Produktionsabläufe und Geschäftsprozesse) haben kann. Erst im März dieses Jahres wurde der Stahlkonzern EVRAZ von der Ryuk-Ransomware getroffen, wodurch Betriebsabläufe an zahlreichen Standorten in den USA und Kanada zum Erliegen kamen. Die Folge waren die befristete Freistellung von Mitarbeitern sowie massive Störungen des Warenverkehrs.

Der digitale Wandel ist die treibende Kraft hinter dem OT-Ransomware-Risiko

Bei allen Vorteilen, die die Digitalisierung den Unternehmen bringt, erhöht sich parallel mit ihr auch das Cyber-Risiko. Dabei gibt es branchenspezifische Unterschiede in den verschiedenen Sektoren. So gab etwa das FBI im Juli eine Empfehlung für Speditionsunternehmen heraus, in der es vor der wachsenden Anfälligkeit der Branche für Lösegeldangriffe warnte. Durch die fortschreitende Digitalisierung der Prozesse, etwa durch die weitverbreitete Einführung von Lösungen wie GPS, KI-zentrierten Systemen und elektronischen Aufzeichnungsgeräten (ELDs), hat sich die potenzielle Gefährdung in diesem Bereich deutlich erhöht. Das FBI sieht in ELDs ein mögliches Einfallstor für Angreifer, welche sich dann lateral zwischen den IT- und OT-Umgebungen von Logistikunternehmen bewegen können. Die möglichen Auswirkungen können dabei von Datenexfiltration bis hin zur lebensbedrohlichen Manipulation von Fahrzeugfunktionen reichen. Weniger als einen Monat nach Herausgabe des FBI-Hinweises wurde Canpar Express das jüngste Speditionsunternehmen, das einem Lösegeldangriff zum Opfer fiel. Die Angreifer verursachten nicht nur Betriebsunterbrechungen, sondern leakten auch mehrere interne Dokumente, verbunden mit der Drohung, weiteres Material zu veröffentlichen, sollte auf ihre Forderungen nicht eingegangen werden. Dieser Fall ist ein Paradebeispiel für die neue Art von Ransomware, bei der die Daten nicht nur verschlüsselt, sondern vorher auch für weitere Erpressungen entwendet werden, ebenso für Angriffe, die sowohl die IT- als auch die OT-Systeme eines Unternehmens betreffen.

ICS-Schwachstellenforschung und OT-Netzwerksegmentierung 

Die bislang verheerendsten Angriffe durch NotPetya und auch WannaCry wurden durch einen Exploit ermöglicht, der eine Schwachstelle in Windows ausnutzt. Dies zeigt, dass Schwachstellen eine fundamentale Rolle bei der Ermöglichung von Lösegeld-Angriffen auf OT- und andere Umgebungen spielen. Entsprechend ist deren Aufdeckung (und Beseitigung) ein Schlüsselfaktor für die industrielle Cybersicherheit. So zeigte der ICS Risk & Vulnerability Report, dass sich mehr als 70 Prozent der in der ersten Hälfte des Jahres 2020 aufgedeckten Schwachstellen von industriellen Kontrollsystemen (ICS) aus der Ferne ausnutzenlassen. Nur mit dem Wissen um eine Problematik und besondere Gefahrenfelder lassen sich diese auch beseitigen.

In den meisten Fällen ist zudem eine unsachgemäße Segmentierung zwischen einstmals getrennten IT- und OT-Umgebungen eine der Hauptursachen für Infektionen mit OT-Ransomware. Deshalb kommt der Isolierung von OT-Netzwerk und -Assets von der IT, die dem Purdue-Modell und anderen bewährten Segmentierungsverfahren entspricht, größte Bedeutung zu. Auf diese Weise wird verhindert, dass sich Erpressungstrojaner und andere Malware lateral von der IT in die OT (oder umgekehrt) ausbreiten.

Die Aufdeckung und Beseitigung von Schwachstellen gepaart mit einer adäquaten Segmentierung trägt wesentlich dazu bei, das Ausmaß und die Häufigkeit von (erfolgreichen) Ransomware-Angriffen zu verringern und damit die industrielle Cybersicherheit weiter zu verbessern. 

Galina Antova, Mitgründerin und Chief Business Development Officer
Galina Antova
Mitgründerin und Chief Business Development Officer, Claroty

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

2021
Nov 11, 2020

Das sind die Cybersecurity-Trends 2021

Das New Normal erfordert von Unternehmen auch in der Cybersecurity, bisherige Konzepte,…
Ransomware
Aug 14, 2020

Ransomware – Lukrativ wie eh und je

Vor drei Jahren, 2017, litten New Yorker Pendler unter einem Sommer mit überfüllten…
Ransomware
Jun 03, 2020

Ransomware: Gestern, heute und morgen

Vor drei Jahren trieb die Ransomware WannaCry ihr Unwesen und richtete große Verwüstungen…

Weitere Artikel

Cyberattacke

Weitere Verdopplung der Cyberattacken im dritten Quartal

Im dritten Quartal des Jahres mussten die Cyber-Defense-Spezialisten aus Bochum fast doppelt so viele Cyber-Angriffe wie im zweiten Quartal 2020 abwehren. Mit großen Kampagnen attackieren Angreifer sowohl private Rechner, als auch Firmennetzwerke. Besonders…

Digitale Sicherheit in der Vorweihnachtszeit

Mitte 2020 hat das Cybereason Research Team eine aktive Malware-Kampagne entdeckt, die brasilianische Kunden von MercadoLivre, einem der größten Online-Markplätze Lateinamerikas, ins Visier genommen hat.
Datendiebstahl

86 Prozent der Verbraucher Opfer von Identitätsdiebstahl & Co.

86 Prozent der Verbraucher sind in diesem Jahr Opfer von Identitätsdiebstahl, Kredit-/Debitkartenbetrug oder einer Datenschutzverletzung geworden. Das ergab eine aktuelle Studie von OpSec Security. 2019 lag dieser Anteil noch bei 80 Prozent. Das jährliche…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!