COMPUTERWOCHE
Alternatives Drucklayout:
› reiner Text
Link: https://www.computerwoche.de/a/erpressungs-malware-bedroht-industrieanlagen,3548582

Ransomware-Angriffe

Erpressungs-Malware bedroht Industrie-Anlagen

Datum:11.03.2020
Autor(en):Martin Bayer
Ransomware-Angriffe werden immer raffinierter - die Malware schlägt oft von den IT-Netzen bis auf die Operational Technology (OT) durch. Die Schäden durch Erpessungstrojaner können immens sein.

Was haben ein US-amerikanischer Energieversorger, die Universität im niederländischen Maastricht und australische Schafzüchter gemeinsam? Alle waren zuletzt Opfer von Ransomware-Attacken. In Down Under hat es Talman Software erwischt1, über deren Plattform rund drei Viertel der australischen Schafwolle gehandelt werden. Acht Millionen australische Dollar forderten die Erpresser, um die von ihrer Malware verschlüsselten Daten wieder zugänglich zu machen. Die Verantwortlichen von Talman lehnten ab und machten sich stattdessen daran, ihre Systeme selbst wiederherzustellen2. Leidtragende waren auch die Schafzüchter. Da die Handelsplattform über Tage stillstand, häufte sich in den Lagern ein gewaltiger Überschuss an Wollballen an. Die Folge: Als die Systeme wieder liefen, rutschten erst einmal die Wollpreise in den Keller.

Hacker nehmen zunehmend Industrieanlagen per Ransomware ins Visier: Wenn es zum Not-Aus kommt, drohen teure Konsequenzen.
Foto: Raul Topan - shutterstock.com

Die Universität Maastricht wählte einen anderen, aus ihrer Sicht pragmatischeren Weg3. Die Verantwortlichen zahlten ein Lösegeld in Höhe von etwa 200.000 Euro, um ihre nach einem erfolgreichen Phishing-Mail-Angriff4 verschlüsselten Daten wiederzubekommen. Hätte man sich geweigert, wäre der wirtschaftliche Schaden noch höher gewesen, hieß es hinter vorgehaltener Hand. Einen Großteil der betroffenen Infrastruktur hätte man gar nicht oder nur mit großem Aufwand wiederherstellen können.

Dass die Cybersecurity and Infrastructure Security Agency5 (CISA), eine Abteilung der US-amerikanischen Homeland Security Organisation einen Cyber-Vorfall in einer kritischen Intrastruktur6 öffentlich macht, ist ungewöhnlich. Bei einem namentlich nicht genannten Betreiber von Gas-Pipelines in den USA hatte ein kompromittierter Link in einer E-Mail der Malware Tor und Tür geöffnet. Von den IT-Systemen fand der Schadcode seinen Weg in die Operational Technology (OT) und begann dort, Daten zu verschlüsseln und ganze Systeme, beispielsweise für das Monitoring der Gas-Pipelines, lahm zu legen.

Die Betreiber hätten nie die Kontrolle über ihre Anlagen verloren, wiegelte die US-Sicherheitsbehörde ab. Auch seien keine Programmable Logic Controller (PLCs) betroffen gewesen. Durch das Verschlüsseln von Daten war der Betreiber jedoch teilweise nicht mehr in der Lage zu überwachen, was in den Anlagen passiert. Das Unternehmen habe sicherheitshalber für zwei Tage Teile seines Gas-Netzes heruntergefahren, um die Systeme wiederherzustellen.

Aus Ransomware wird Disruptionware

Nach Angaben der CISA-Experten7 hat der Energieversorger bei der Segmentierung seiner IT- und OT-Netze geschlampt. Außerdem hätte es keinen Notfallplan für eine solche Bedrohungssituation gegeben. Die US-Sicherheitsbehörden nehmen diesen Vorfall allem Anschein nach sehr ernst, wie die überraschende Veröffentlichung zeigt. Die Angreifer hätten für ihre Attacke ganz gewöhnliche Ransomware8 verwendet, hieß es. Andere KRITIS-Betreiber sollen offensichtlich aufgefordert werden, genauer auf ihre Sicherheits- und Präventionsmaßnahmen zu achten.

Viele weitere Informationen zum Thema Ransomware finden Sie hier:

  • 5 Cryptolocker zum "Verlieben"9

  • 10 Wege, sich vor Ransomware zu schützen10

  • So verlief die Ransomware-Attacke im Lukaskrankenhaus11

  • Ransomware und KI bestimmen 2020 die IT-Security12

Nur weil die Erpressungs-Malware auf klassische Windows-Systeme ausgelegt war, sei kein größerer Schaden entstanden, konstatieren Security-Experten. Mit mehr OT-Know-how wäre es demnach möglich gewesen, auch die PLCs zu korrumpieren, die direkt für die Steuerung der Gasanlagen verwendet werden. Insider sprechen in diesem Zusammenhang von einem stärkeren Aufkommen eines neuen Typs von Schädlingen, der "Disruptionware13".

Sorgen bereitet den Spezialisten eine erst vor wenigen Wochen entdeckte Malware. "Snake", beziehungsweise rückwärts buchstabiert "Ekans", ist darauf ausgelegt, Industrial Control Systems14 (ICS) anzugreifen. Der Schädling, der von Experten der SentinelLabs und Anbietern wie Dragos und Forescout näher untersucht wurde, verschlüsselt wie eine klassische Ransomware Daten auf befallenen Systemen. Darüber hinaus kann Snake/Ekans aber auch zahlreiche Softwareprozesse auf Steuerungssystemen beenden. Waren die Forscher zunächst von 64 industriespezifischen Prozessen ausgegangen, zeichnet sich mittlerweile ab, dass noch weitaus mehr Prozesse betroffen sein könnten.

Viele nützliche Informationen zur aktuellen Bedrohungslage finden Sie im TecChannel Compact 02/20 Security

Snake/Ekans15 enthält alle Merkmale von Standard-Ransomware, aber es gibt einige Anzeichen dafür, dass die Malware noch aggressiver und komplexer ist, heißt es in einer Analyse von SentinelLabs. Der Schädling sei in der Open-Source-Programmiersprache "Golang" geschrieben, die zu einem gewissen Grad auch plattformübergreifend funktioniere. Daher würde diese Sprache auch gerne für Schadcode-Dienste wie Ransomware as a Service (RaaS) verwendet, warnen die Experten vor einer zügigen Verbreitung der Malware.

Erpressungs-Angriffe auf Industrieanlagen explodieren

Wie massiv sich zuletzt die Bedrohungssituation verschärft hat, zeigte der jüngst vorgestellte "X-Force Threat Intelligence Index 2020" von IBM16. Demzufolge haben 2019 die Angriffe auf die Operational Technology (OT) in Produktionsanlagen17 im Vergleich zum Vorjahr um 2000 Prozent zugenommen. Die Hacker konzentrieren sich dabei unter anderem auf bekannte Schwachstellen in Industrial Control Systems wie zum Beispiel SCADA-Steuerungssysteme18. Außerdem wurden vermehrt Brute-Force-Attacken gefahren, um in die Systeme einzudringen.

Laut dem X-Force-Bericht von IBM nehmen die Attacken auf Operational Technology (OT) drastisch zu.
Foto: IBM

Gerade das Verschmelzen von IT und OT habe das Risiko erhöht und Angreifern zusätzliche Möglichkeiten eröffnet. Auch IBM berichtet von einer Attacke auf ein Produktionsunternehmen, die mit einer Infiltration von Ransomware in der klassischen IT-Landschaft startete, sich dann aber mit zusätzlichem Schadcode auch auf die OT ausweitete. In der Folge waren die Produktionsanlagen des betroffenen Unternehmens lahmgelegt.

Viele OT-Systeme sind aus Sicht der IBM-Experten anfällig, weil sie auf Legacy-Hardware und -Software19 basieren, die oft seit langem bekannte Schwachstellen und Sicherheitslücken mit sich herumschleppen und nicht mehr gepatcht werden. Sind die Hacker erst einmal in das Netz eingedrungen20, sei es für sie oft ein Leichtes, sich zur OT durchzuschlagen und dort massive Schäden anzurichten, warnt der Sicherheitsbericht. IBM geht davon aus, dass die Angriffe auf Industrieanlagen im laufenden Jahr weltweit weiter zunehmen werden. Allein 2019 seien über 200 neue Common Vulnerabilities and Exposures (CVEs) in den Kontrollsystemen von Produktionsanlagen hinzugekommen.

Ein anderer Angriffsvektor, den Hacker in Zukunft stärker ins Visier nehmen dürften, ist das Internet of Things21 (IoT). Für 2020 rechnet IBM weltweit mit etwa 38 Milliarden vernetzten Geräten im Internet der Dinge. Diese ließen sich meist mit vergleichsweise einfach gestrickter Malware und automatisierten Attacken kapern, warnen die Sicherheitsexperten. Galten IoT-Angriffe wie "Mirai" in der Vergangenheit meist den Consumer-Devices, beobachteten die Forscher 2019 vermehrt Angriffe auf professionelle IoT-Hardware in Unternehmensnetzen. Kompromittierte Geräte könnten den Hackern ein Einfallstor in die Infrastrukturen der Betriebe öffnen, warnen die Security-Spezialisten.

Lesen Sie hier, was ein CISO wissen muss

Viele Angreifer nutzen sogenannte Command-Injection- (CMDi-)Attacken, die per Script automatisiert Netze scannen und versuchen, massenhaft IoT-Geräte mit Schadcode zu infiltrieren. Ist das Device geentert, wird Malware nachgeladen, die das betroffene Gerät in aller Regel in ein Botnet integriert. Meist erwischt es IoT-Devices, die nur mit schwachen Passwörtern gesichert sind, lautet das Resümee der Fachleute.

Insgesamt sieht IBM einen Trend, dass Angriffe mehr und mehr darauf ausgelegt sind, Zerstörungen in den betroffenen IT-Systemen anzurichten. Dabei werden oft systemkritische Daten gelöscht oder überschrieben. Derartige Attacken hätten im vergangenen Jahr an Zahl und Wucht zugenommen, heißt es in der X-Force-Untersuchung. Üblicherweise agierten vor allem staatliche Hacker mit destruktiven Absichten. Allerdings sei zuletzt zu beobachten gewesen, dass auch Cyberkriminelle22, die versuchten per Datenverschlüsselung Lösegeld zu erpressen, ihre Ransomware zunehmend mit zerstörerischen Komponenten ausstatteten.

Erpressungstrojaner kosten die Wirtschaft Milliarden

Die Folgen bekommen immer mehr Organisationen zu spüren. Drei Viertel aller deutschen Unternehmen waren in den vergangenen zwei Jahren von Datendiebstahl, Industriespionage oder Sabotage betroffen, hat der Branchenverband Bitkom in seiner Studie "Spionage, Sabotage und Datendiebstahl - Wirtschaftsschutz in der vernetzten Welt23" festgestellt. Damit hätten Umfang und Qualität der Angriffe auf Unternehmen dramatisch zugenommen. Zum Vergleich: 2015 und 2017 war nur gut jedes zweite Unternehmen betroffen. Drei von vier der über tausend befragten Betriebe gab an, dass die Angriffe zuletzt "stark" (31 Prozent) beziehungsweise "eher" (43 Prozent) zugenommen haben. Über 80 Prozent gehen davon aus, dass sich die Sicherheitslage in den kommenden Jahren noch weiter verschärfen wird.

Die Zahl der IT-Angriffe auf deutsche Unternehmen hat im vergangenen Jahr sprunghaft zugenommen.
Foto: Bitkom

Die daraus resultierenden Schäden sind immens. Der Bitkom beziffert den Gesamtschaden innerhalb der zurückliegenden zwei Jahre auf 205,7 Milliarden Euro. Auf das Konto von Erpressung mit gestohlenen oder verschlüsselten Daten gingen allein hierzulande 10,5 Milliarden Euro. "Umfang und Qualität der Angriffe auf Unternehmen haben dramatisch zugenommen", konstatierte Bitkom-Präsident Achim Berg. Die Freizeithacker von früher hätten sich zu gut ausgerüsteten und technologisch oft sehr versierten Cyberbanden weiterentwickelt - zuweilen mit Staatsressourcen im Rücken.

In Sachen Ransomware stellte das Bundesamt für Sicherheit in der Informationstechnik24 (BSI) jüngst fest, dass sich die Bedrohungslage deutlich verschärft25 habe. Die Täter seien sich der ganzen Bandbreite ihrer Möglichkeiten bewusst und die bestehenden Geschäftsmodelle würden sich gegenseitig inspirieren. Waren in bisherigen Ransomware-as-a-Service-Angeboten auch schon verschiedene Softwareanteile wie beispielsweise Exploit-Kits oder unterschiedliche kryptografische Algorithmen vereint, so hat diese Form der Modularisierung jetzt einen Großteil der Malware-Branche erreicht, schreiben die BSI-Experten.

IDG hat für Sie ein IT-Security-Studienpaket geschnürt - weitere Einzelheiten finden Sie hier

"Emotet" sei ein Beispiel für diese Entwicklung. Die Funktionen dieser Schadsoftware26, die ursprünglich als Banking-Trojaner gestartet war, wurden sukzessive ausgebaut. Neben "klassischen" Malware-Binaries werde nun auch Ransomware nachgeladen. Emotet sei auch zum Spion für Zugangsdaten geworden und sammle Mail-Adressen und Kommunikationsprofile der Opfer ein. In befallenen Unternehmen kundschafte das Schadprogramm die Netzwerkumgebung aus und führe automatisierte Brute-Force-Methoden durch, um Zugangsdaten oder Access-Tokens der Nutzer zu erbeuten. Damit sei Emotet in der Lage sich lateral im Netzwerk auszubreiten und zu bewegen. Was der Schädling nicht selbst erspähen könne, werde über nachgeladene Module erledigt. Das BSI warnt deshalb: "Da sich die Module stetig weiterentwickeln und einer ebenso wachsenden Sammlung an Schwachstellen angepasst werden, stellt sich die davon ausgehende Bedrohung als exponentiell wachsend dar."

Ransomware entfernen? Nicht per Lösegeld!

Bei Ransomware-Vorfällen treten Versäumnisse bei der Prävention häufig deutlich zutage. Die BSI-Experten nennen unter anderem schlecht gepflegte Systeme, fehlende, veraltete oder nicht überprüfte Software-Backups, schwache Administrator-Passworte und fehlende Netzsegmentierung. Eine zentrale Rolle spiele das Verhalten der Mitarbeiter27. Einige Angriffe seien mittlerweile durch Nutzung legitimer Namen und Mails so gut getarnt, dass sie kaum noch zu erkennen seien, warnt das BSI.

Mehr zum Thema IT-Sicherheit lesen Sie hier:

  • FAQ Botnet: So funktionieren Mirai, Reaper, Echobot und Co.28

  • FAQ Malware: Was ist ein Computervirus?29

  • IT-Risiken richtig versichern30

Problematisch sei zudem, dass in vielen Fällen die Opfer das geforderte Lösegeld zahlen würden. In einem gemeinsamen Appell 31fordern der Deutsche Städtetag, der Deutsche Landkreistag, der Deutsche Städte- und Gemeindebund, das Bundeskriminalamt und das BSI von Ransomware betroffene Kommunalverwaltungen auf, sich grundsätzlich nicht auf Lösegeldzahlungen einzulassen. "Jede Lösegeldzahlung macht eine Erpressung zum Erfolg für den Erpresser und motiviert diesen und andere potenzielle Angreifer zur Fortsetzung und Weiterentwicklung der Angriffe", heißt es in einer Erklärung. Außerdem bestehe das Risiko, dass nach einer Zahlung nicht das erhoffte Ergebnis eintritt oder weitere Forderungen erhoben werden. Stattdessen sollte jeder Erpressungsversuch zur Anzeige gebracht und das jeweilige Landes-CERT oder das BSI informiert werden.

Viel zu befürchten haben die Cyber-Kriminellen allerdings nicht. Wenn es den Behörden überhaupt gelingt, die Täter zu identifizieren, operieren die kriminellen Hacker32 überwiegend von solchen Ländern aus, in denen eine Strafverfolgung von Deutschland aus kaum oder nur schwer möglich ist.

Links im Artikel:

1 https://www.abc.net.au/news/rural/2020-02-27/ransomware-cyber-attack-cripples-australian-wool-sales/12007912
2 https://www.computerwoche.de/a/ransomware-entfernen-so-geht-s,3330190
3 https://www.bleepingcomputer.com/news/security/ta505-hackers-behind-maastricht-university-ransomware-attack/
4 https://www.computerwoche.de/a/erkennen-sie-internetbetrug,3331991
5 https://www.cisa.gov/
6 https://www.computerwoche.de/a/kommt-der-blackout,3545695
7 https://www.us-cert.gov/ncas/alerts/aa20-049a
8 https://www.computerwoche.de/a/5-cryptolocker-zum-verlieben,3548480
9 https://www.computerwoche.de/a/5-cryptolocker-zum-verlieben,3548480
10 https://www.computerwoche.de/a/10-wege-sich-vor-ransomware-zu-schuetzen,3322651
11 https://www.computerwoche.de/a/so-verlief-die-ransomware-attacke-im-lukaskrankenhaus,3547811
12 https://www.computerwoche.de/a/ransomware-und-ki-bestimmen-2020-die-it-security,3547980
13 https://www.natlawreview.com/article/emerging-cyber-security-threats-2020-rise-disruptionware-and-high-impact-ransomware
14 https://www.computerwoche.de/a/so-werden-industrielle-kontrollsysteme-sicher,3323105
15 https://www.it-daily.net/it-sicherheit/enterprise-security/23505-wie-gefaehrlich-ist-die-ransomware-snake-ekans-fuer-industrieanlagen
16 https://www.ibm.com/security/digital-assets/xforce-threat-intelligence-index-map/?lnk=ushpv18f4#/
17 https://www.computerwoche.de/a/skandal-um-crypto-ag-ueberschattete-sicherheitskonferenz,3548460
18 https://www.computerwoche.de/a/scada-ics-systeme-richtig-absichern,3546414
19 https://www.computerwoche.de/a/altsysteme-setzen-die-it-teams-unter-druck,3545916
20 https://www.computerwoche.de/a/gehackt-wer-haftet,3330421
21 https://www.computerwoche.de/a/so-geht-sicherheit-im-internet-of-things,3548403
22 https://www.computerwoche.de/a/so-guenstig-ist-ein-hack-im-darknet,3548070
23 https://www.bitkom.org/Presse/Presseinformation/Angriffsziel-deutsche-Wirtschaft-mehr-als-100-Milliarden-Euro-Schaden-pro-Jahr
24 https://www.bsi.bund.de/DE/Home/home_node.html
25 https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/Ransomware/Ransomware_node.html
26 https://www.computerwoche.de/a/der-malware-melting-pot,3608528
27 https://www.computerwoche.de/a/warum-ihre-mitarbeiter-die-security-hintergehen,3332163
28 https://www.computerwoche.de/a/so-funktionieren-mirai-reaper-echobot-und-co,3547523
29 https://www.computerwoche.de/a/was-ist-ein-computervirus,3547429
30 https://www.computerwoche.de/a/it-risiken-richtig-versichern,3546440
31 https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Ransomware-Empfehlung-Kommunen_020320.html
32 https://www.computerwoche.de/a/so-denken-und-handeln-hacker,3545966
IDG Tech Media GmbH
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen Zustimmung der IDG Tech Media GmbH. dpa-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass auf dieser Webseite unzutreffende Informationen veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Für Inhalte externer Seiten, auf die von dieser Webseite aus gelinkt wird, übernimmt die IDG Tech Media GmbH keine Verantwortung.