Was haben ein US-amerikanischer Energieversorger, die Universität im niederländischen Maastricht und australische Schafzüchter gemeinsam? Alle waren zuletzt Opfer von Ransomware-Attacken. In Down Under hat es Talman Software erwischt, über deren Plattform rund drei Viertel der australischen Schafwolle gehandelt werden. Acht Millionen australische Dollar forderten die Erpresser, um die von ihrer Malware verschlüsselten Daten wieder zugänglich zu machen. Die Verantwortlichen von Talman lehnten ab und machten sich stattdessen daran, ihre Systeme selbst wiederherzustellen. Leidtragende waren auch die Schafzüchter. Da die Handelsplattform über Tage stillstand, häufte sich in den Lagern ein gewaltiger Überschuss an Wollballen an. Die Folge: Als die Systeme wieder liefen, rutschten erst einmal die Wollpreise in den Keller.
Die Universität Maastricht wählte einen anderen, aus ihrer Sicht pragmatischeren Weg. Die Verantwortlichen zahlten ein Lösegeld in Höhe von etwa 200.000 Euro, um ihre nach einem erfolgreichen Phishing-Mail-Angriff verschlüsselten Daten wiederzubekommen. Hätte man sich geweigert, wäre der wirtschaftliche Schaden noch höher gewesen, hieß es hinter vorgehaltener Hand. Einen Großteil der betroffenen Infrastruktur hätte man gar nicht oder nur mit großem Aufwand wiederherstellen können.
Dass die Cybersecurity and Infrastructure Security Agency (CISA), eine Abteilung der US-amerikanischen Homeland Security Organisation einen Cyber-Vorfall in einer kritischen Intrastruktur öffentlich macht, ist ungewöhnlich. Bei einem namentlich nicht genannten Betreiber von Gas-Pipelines in den USA hatte ein kompromittierter Link in einer E-Mail der Malware Tor und Tür geöffnet. Von den IT-Systemen fand der Schadcode seinen Weg in die Operational Technology (OT) und begann dort, Daten zu verschlüsseln und ganze Systeme, beispielsweise für das Monitoring der Gas-Pipelines, lahm zu legen.
Die Betreiber hätten nie die Kontrolle über ihre Anlagen verloren, wiegelte die US-Sicherheitsbehörde ab. Auch seien keine Programmable Logic Controller (PLCs) betroffen gewesen. Durch das Verschlüsseln von Daten war der Betreiber jedoch teilweise nicht mehr in der Lage zu überwachen, was in den Anlagen passiert. Das Unternehmen habe sicherheitshalber für zwei Tage Teile seines Gas-Netzes heruntergefahren, um die Systeme wiederherzustellen.
Aus Ransomware wird Disruptionware
Nach Angaben der CISA-Experten hat der Energieversorger bei der Segmentierung seiner IT- und OT-Netze geschlampt. Außerdem hätte es keinen Notfallplan für eine solche Bedrohungssituation gegeben. Die US-Sicherheitsbehörden nehmen diesen Vorfall allem Anschein nach sehr ernst, wie die überraschende Veröffentlichung zeigt. Die Angreifer hätten für ihre Attacke ganz gewöhnliche Ransomware verwendet, hieß es. Andere KRITIS-Betreiber sollen offensichtlich aufgefordert werden, genauer auf ihre Sicherheits- und Präventionsmaßnahmen zu achten.
Viele weitere Informationen zum Thema Ransomware finden Sie hier:
Nur weil die Erpressungs-Malware auf klassische Windows-Systeme ausgelegt war, sei kein größerer Schaden entstanden, konstatieren Security-Experten. Mit mehr OT-Know-how wäre es demnach möglich gewesen, auch die PLCs zu korrumpieren, die direkt für die Steuerung der Gasanlagen verwendet werden. Insider sprechen in diesem Zusammenhang von einem stärkeren Aufkommen eines neuen Typs von Schädlingen, der "Disruptionware".
Sorgen bereitet den Spezialisten eine erst vor wenigen Wochen entdeckte Malware. "Snake", beziehungsweise rückwärts buchstabiert "Ekans", ist darauf ausgelegt, Industrial Control Systems (ICS) anzugreifen. Der Schädling, der von Experten der SentinelLabs und Anbietern wie Dragos und Forescout näher untersucht wurde, verschlüsselt wie eine klassische Ransomware Daten auf befallenen Systemen. Darüber hinaus kann Snake/Ekans aber auch zahlreiche Softwareprozesse auf Steuerungssystemen beenden. Waren die Forscher zunächst von 64 industriespezifischen Prozessen ausgegangen, zeichnet sich mittlerweile ab, dass noch weitaus mehr Prozesse betroffen sein könnten.
Snake/Ekans enthält alle Merkmale von Standard-Ransomware, aber es gibt einige Anzeichen dafür, dass die Malware noch aggressiver und komplexer ist, heißt es in einer Analyse von SentinelLabs. Der Schädling sei in der Open-Source-Programmiersprache "Golang" geschrieben, die zu einem gewissen Grad auch plattformübergreifend funktioniere. Daher würde diese Sprache auch gerne für Schadcode-Dienste wie Ransomware as a Service (RaaS) verwendet, warnen die Experten vor einer zügigen Verbreitung der Malware.
Erpressungs-Angriffe auf Industrieanlagen explodieren
Wie massiv sich zuletzt die Bedrohungssituation verschärft hat, zeigte der jüngst vorgestellte "X-Force Threat Intelligence Index 2020" von IBM. Demzufolge haben 2019 die Angriffe auf die Operational Technology (OT) in Produktionsanlagen im Vergleich zum Vorjahr um 2000 Prozent zugenommen. Die Hacker konzentrieren sich dabei unter anderem auf bekannte Schwachstellen in Industrial Control Systems wie zum Beispiel SCADA-Steuerungssysteme. Außerdem wurden vermehrt Brute-Force-Attacken gefahren, um in die Systeme einzudringen.
Gerade das Verschmelzen von IT und OT habe das Risiko erhöht und Angreifern zusätzliche Möglichkeiten eröffnet. Auch IBM berichtet von einer Attacke auf ein Produktionsunternehmen, die mit einer Infiltration von Ransomware in der klassischen IT-Landschaft startete, sich dann aber mit zusätzlichem Schadcode auch auf die OT ausweitete. In der Folge waren die Produktionsanlagen des betroffenen Unternehmens lahmgelegt.
Viele OT-Systeme sind aus Sicht der IBM-Experten anfällig, weil sie auf Legacy-Hardware und -Software basieren, die oft seit langem bekannte Schwachstellen und Sicherheitslücken mit sich herumschleppen und nicht mehr gepatcht werden. Sind die Hacker erst einmal in das Netz eingedrungen, sei es für sie oft ein Leichtes, sich zur OT durchzuschlagen und dort massive Schäden anzurichten, warnt der Sicherheitsbericht. IBM geht davon aus, dass die Angriffe auf Industrieanlagen im laufenden Jahr weltweit weiter zunehmen werden. Allein 2019 seien über 200 neue Common Vulnerabilities and Exposures (CVEs) in den Kontrollsystemen von Produktionsanlagen hinzugekommen.
Ein anderer Angriffsvektor, den Hacker in Zukunft stärker ins Visier nehmen dürften, ist das Internet of Things (IoT). Für 2020 rechnet IBM weltweit mit etwa 38 Milliarden vernetzten Geräten im Internet der Dinge. Diese ließen sich meist mit vergleichsweise einfach gestrickter Malware und automatisierten Attacken kapern, warnen die Sicherheitsexperten. Galten IoT-Angriffe wie "Mirai" in der Vergangenheit meist den Consumer-Devices, beobachteten die Forscher 2019 vermehrt Angriffe auf professionelle IoT-Hardware in Unternehmensnetzen. Kompromittierte Geräte könnten den Hackern ein Einfallstor in die Infrastrukturen der Betriebe öffnen, warnen die Security-Spezialisten.
Lesen Sie hier, was ein CISO wissen muss
Viele Angreifer nutzen sogenannte Command-Injection- (CMDi-)Attacken, die per Script automatisiert Netze scannen und versuchen, massenhaft IoT-Geräte mit Schadcode zu infiltrieren. Ist das Device geentert, wird Malware nachgeladen, die das betroffene Gerät in aller Regel in ein Botnet integriert. Meist erwischt es IoT-Devices, die nur mit schwachen Passwörtern gesichert sind, lautet das Resümee der Fachleute.
Insgesamt sieht IBM einen Trend, dass Angriffe mehr und mehr darauf ausgelegt sind, Zerstörungen in den betroffenen IT-Systemen anzurichten. Dabei werden oft systemkritische Daten gelöscht oder überschrieben. Derartige Attacken hätten im vergangenen Jahr an Zahl und Wucht zugenommen, heißt es in der X-Force-Untersuchung. Üblicherweise agierten vor allem staatliche Hacker mit destruktiven Absichten. Allerdings sei zuletzt zu beobachten gewesen, dass auch Cyberkriminelle, die versuchten per Datenverschlüsselung Lösegeld zu erpressen, ihre Ransomware zunehmend mit zerstörerischen Komponenten ausstatteten.
Erpressungstrojaner kosten die Wirtschaft Milliarden
Die Folgen bekommen immer mehr Organisationen zu spüren. Drei Viertel aller deutschen Unternehmen waren in den vergangenen zwei Jahren von Datendiebstahl, Industriespionage oder Sabotage betroffen, hat der Branchenverband Bitkom in seiner Studie "Spionage, Sabotage und Datendiebstahl - Wirtschaftsschutz in der vernetzten Welt" festgestellt. Damit hätten Umfang und Qualität der Angriffe auf Unternehmen dramatisch zugenommen. Zum Vergleich: 2015 und 2017 war nur gut jedes zweite Unternehmen betroffen. Drei von vier der über tausend befragten Betriebe gab an, dass die Angriffe zuletzt "stark" (31 Prozent) beziehungsweise "eher" (43 Prozent) zugenommen haben. Über 80 Prozent gehen davon aus, dass sich die Sicherheitslage in den kommenden Jahren noch weiter verschärfen wird.
Die daraus resultierenden Schäden sind immens. Der Bitkom beziffert den Gesamtschaden innerhalb der zurückliegenden zwei Jahre auf 205,7 Milliarden Euro. Auf das Konto von Erpressung mit gestohlenen oder verschlüsselten Daten gingen allein hierzulande 10,5 Milliarden Euro. "Umfang und Qualität der Angriffe auf Unternehmen haben dramatisch zugenommen", konstatierte Bitkom-Präsident Achim Berg. Die Freizeithacker von früher hätten sich zu gut ausgerüsteten und technologisch oft sehr versierten Cyberbanden weiterentwickelt - zuweilen mit Staatsressourcen im Rücken.
In Sachen Ransomware stellte das Bundesamt für Sicherheit in der Informationstechnik (BSI) jüngst fest, dass sich die Bedrohungslage deutlich verschärft habe. Die Täter seien sich der ganzen Bandbreite ihrer Möglichkeiten bewusst und die bestehenden Geschäftsmodelle würden sich gegenseitig inspirieren. Waren in bisherigen Ransomware-as-a-Service-Angeboten auch schon verschiedene Softwareanteile wie beispielsweise Exploit-Kits oder unterschiedliche kryptografische Algorithmen vereint, so hat diese Form der Modularisierung jetzt einen Großteil der Malware-Branche erreicht, schreiben die BSI-Experten.
IDG hat für Sie ein IT-Security-Studienpaket geschnürt - weitere Einzelheiten finden Sie hier
"Emotet" sei ein Beispiel für diese Entwicklung. Die Funktionen dieser Schadsoftware, die ursprünglich als Banking-Trojaner gestartet war, wurden sukzessive ausgebaut. Neben "klassischen" Malware-Binaries werde nun auch Ransomware nachgeladen. Emotet sei auch zum Spion für Zugangsdaten geworden und sammle Mail-Adressen und Kommunikationsprofile der Opfer ein. In befallenen Unternehmen kundschafte das Schadprogramm die Netzwerkumgebung aus und führe automatisierte Brute-Force-Methoden durch, um Zugangsdaten oder Access-Tokens der Nutzer zu erbeuten. Damit sei Emotet in der Lage sich lateral im Netzwerk auszubreiten und zu bewegen. Was der Schädling nicht selbst erspähen könne, werde über nachgeladene Module erledigt. Das BSI warnt deshalb: "Da sich die Module stetig weiterentwickeln und einer ebenso wachsenden Sammlung an Schwachstellen angepasst werden, stellt sich die davon ausgehende Bedrohung als exponentiell wachsend dar."
Ransomware entfernen? Nicht per Lösegeld!
Bei Ransomware-Vorfällen treten Versäumnisse bei der Prävention häufig deutlich zutage. Die BSI-Experten nennen unter anderem schlecht gepflegte Systeme, fehlende, veraltete oder nicht überprüfte Software-Backups, schwache Administrator-Passworte und fehlende Netzsegmentierung. Eine zentrale Rolle spiele das Verhalten der Mitarbeiter. Einige Angriffe seien mittlerweile durch Nutzung legitimer Namen und Mails so gut getarnt, dass sie kaum noch zu erkennen seien, warnt das BSI.
Mehr zum Thema IT-Sicherheit lesen Sie hier:
Problematisch sei zudem, dass in vielen Fällen die Opfer das geforderte Lösegeld zahlen würden. In einem gemeinsamen Appell fordern der Deutsche Städtetag, der Deutsche Landkreistag, der Deutsche Städte- und Gemeindebund, das Bundeskriminalamt und das BSI von Ransomware betroffene Kommunalverwaltungen auf, sich grundsätzlich nicht auf Lösegeldzahlungen einzulassen. "Jede Lösegeldzahlung macht eine Erpressung zum Erfolg für den Erpresser und motiviert diesen und andere potenzielle Angreifer zur Fortsetzung und Weiterentwicklung der Angriffe", heißt es in einer Erklärung. Außerdem bestehe das Risiko, dass nach einer Zahlung nicht das erhoffte Ergebnis eintritt oder weitere Forderungen erhoben werden. Stattdessen sollte jeder Erpressungsversuch zur Anzeige gebracht und das jeweilige Landes-CERT oder das BSI informiert werden.
Viel zu befürchten haben die Cyber-Kriminellen allerdings nicht. Wenn es den Behörden überhaupt gelingt, die Täter zu identifizieren, operieren die kriminellen Hacker überwiegend von solchen Ländern aus, in denen eine Strafverfolgung von Deutschland aus kaum oder nur schwer möglich ist.