Ransomware erobert die Produktionsstätten
Die Erpressungs-Trojaner legen nach der IT auch die OT lahm.
Was haben ein US-amerikanischer Energieversorger, die Universität im niederländischen Maastricht und australische Schafzüchter gemeinsam? Alle waren zuletzt Opfer von Ransomware-Attacken. In Down Under hat es Talman Software erwischt, über deren Plattform rund drei Viertel der australischen Schafwolle gehandelt werden. Acht Millionen australische Dollar forderten die Erpresser, um die von ihrer Malware verschlüsselten Daten wieder zugänglich zu machen. Die Verantwortlichen von Talman lehnten ab und machten sich stattdessen daran, ihre Systeme selbst wiederherzustellen. Leidtragende waren auch die Schafzüchter. Da die Handelsplattform über Tage stillstand, häufte sich in den Lagern ein gewaltiger Überschuss an Wollballen an. Die Folge: Als die Systeme wieder liefen, rutschten erst einmal die Wollpreise in den Keller.
Die Universität Maastricht wählte einen anderen, aus ihrer Sicht pragmatischeren Weg. Die Verantwortlichen zahlten ein Lösegeld in Höhe von etwa 200.000 Euro, um ihre nach einem erfolgreichen Phishing-Mail-Angriff verschlüsselten Daten wiederzubekommen. Hätte man sich geweigert, wäre der wirtschaftliche Schaden noch höher gewesen, hieß es hinter vorgehaltener Hand. Einen Großteil der betroffenen Infrastruktur hätte man gar nicht oder nur mit großem Aufwand wiederherstellen können.
Dass die Cyber-Security and Infrastructure Security Agency (CISA), eine Abteilung der US-amerikanischen Homeland Security Organisation einen Cyber-Vorfall in einer kritischen Intrastruktur öffentlich macht, ist ungewöhnlich. Bei einem namentlich nicht genannten Betreiber von Gas-Pipelines in den USA hatte ein kompromittierter Link in einer E-Mail der Malware Tor und Tür geöffnet. Von den IT-Systemen fand der Schadcode seinen Weg in die Operational Technology (OT) und begann dort, Daten zu verschlüsseln und ganze Systeme, beispielsweise für das Monitoring der Gas-Pipelines, lahmzulegen.
Die Betreiber hätten nie die Kontrolle über ihre Anlagen verloren, wiegelte die US-Sicherheitsbehörde ab. Auch seien keine Programmable
Logic Controller (PLCs) betroffen gewesen. Durch das Verschlüsseln von Daten war der Betreiber jedoch teilweise nicht mehr in der Lage, zu überwachen, was in den Anlagen passiert. Das Unternehmen habe sicherheitshalber für zwei Tage Teile seines Gasnetzes heruntergefahren, um die Systeme wiederherzustellen.
Aus Ransomware wird Disruptionware
Nach Angaben der CISA-Experten hat der Energieversorger bei der Segmentierung seiner ITund OT-Netze geschlampt. Außerdem hätte es keinen Notfallplan für eine solche Situation gegeben. Die US-Sicherheitsbehörden nehmen diesen Vorfall allem Anschein nach sehr ernst, wie die überraschende Veröffentlichung zeigt. Die Angreifer hätten für ihre Attacke ganz gewöhnliche Ransomware verwendet, hieß es. Andere KRITIS-Betreiber sollen offensichtlich aufgefordert werden, genauer auf ihre Sicherheits- und Präventionsmaßnahmen zu achten.
Nur weil die Malware auf klassische WindowsSysteme ausgelegt war, sei kein größerer Schaden entstanden, konstatieren SecurityExperten. Mit mehr OT-Know-how wäre es demnach möglich gewesen, auch die PLCs zu korrumpieren, die direkt für die Steuerung der
Gasanlagen verwendet werden. Insider sprechen in diesem Zusammenhang von einem stärkeren Aufkommen eines neuen Typs von Schädlingen, der „Disruptionware“.
Sorgen bereitet den Spezialisten eine erst vor wenigen Wochen entdeckte Malware. „Snake“, beziehungsweise rückwärts buchstabiert „Ekans“, greift Industrial Control Systems
(ICS) an. Der Schädling, der von Experten der Sentinel Labs und Anbietern wie Dragos und Forescout näher untersucht wurde, verschlüsselt wie eine klassische Ransomware Daten auf befallenen Systemen. Darüber hinaus kann Snake/Ekans aber auch zahlreiche Softwareprozesse auf Steuerungssystemen beenden. Waren die Forscher zunächst von 64 industriespezifischen Prozessen ausgegangen, zeichnet sich mittlerweile ab, dass noch weitaus mehr Prozesse betroffen sein könnten.
Snake/Ekans enthält alle Merkmale von Standard-Ransomware, aber es gibt einige Anzeichen dafür, dass die Malware noch aggressiver und komplexer ist, heißt es in einer Analyse von Sentinel Labs. Der Schädling sei in der Open-Source-Programmiersprache „Golang“geschrieben, die zu einem gewissen Grad auch plattformübergreifend funktioniere. Daher würde diese Sprache auch gern für SchadcodeDienste wie Ransomware-as-a-Service (RaaS) verwendet, warnen die Experten vor einer zügigen Verbreitung der Malware.
Angriffe auf Industrieanlagen explodieren
Wie massiv sich zuletzt die Bedrohungssituation verschärft hat, zeigte der jüngst vorgestellte „X-Force Threat Intelligence Index 2020“von IBM. Demzufolge haben 2019 die Angriffe auf die OT in Produktionsanlagen im Vergleich zum Vorjahr um 2000 Prozent zugenommen. Die Hacker konzentrieren sich dabei unter anderem auf bekannte ICS-Schwachstellen wie zum Beispiel SCADA-Steuerungssysteme. Zudem wurden vermehrt Brute-Force-Attacken gefahren, um in die Systeme einzudringen.
Gerade das Verschmelzen von IT und OT habe das Risiko erhöht und Angreifern zusätzliche Möglichkeiten eröffnet. Auch IBM berichtet von einer Attacke auf ein Produktionsunternehmen, die mit einer Infiltration von Ransomware in der klassischen IT-Landschaft startete, sich dann aber mit zusätzlichem Schadcode auch auf die OT ausweitete. In der Folge waren die Produktionsanlagen des betroffenen Unternehmens lahmgelegt.
Steueranlagen mit längst bekannten Schwachstellen
Viele OT-Systeme sind aus Sicht der IBMExperten anfällig, weil sie auf Legacy-Hardware und -Software basieren, die oft seit langem bekannte Schwachstellen und Sicherheitslücken mit sich herumschleppen und nicht mehr gepatcht werden. Sind die Hacker erst einmal in das Netz eingedrungen, sei es für sie oft ein Leichtes, sich zur OT durchzuschlagen und dort massive Schäden anzurichten, warnt der Sicherheitsbericht. IBM geht davon aus, dass die Angriffe auf Industrieanlagen im laufenden Jahr weltweit weiter zunehmen werden. Allein 2019 seien über 200 neue Common Vulnerabilities and Exposures (CVEs) in den Kontrollsystemen von Produktionsanlagen hinzugekommen.
Ein anderer Angriffsvektor, den Hacker in Zukunft stärker ins Visier nehmen dürften, ist das Internet of Things (IoT). Für 2020 rechnet IBM weltweit mit etwa 38 Milliarden vernetzten Geräten im Internet der Dinge. Diese ließen sich meist mit vergleichsweise einfach gestrickter Malware und automatisierten Attacken kapern, warnen die Sicherheitsexperten. Galten IoT-Angriffe wie „Mirai“in der Vergangenheit meist den Consumer-Devices, beobachteten die Forscher 2019 vermehrt Angriffe auf professionelle IoT-Hardware in Unternehmensnetzen. Kompromittierte Geräte könnten den Hackern ein Einfallstor in die Infrastrukturen der Betriebe öffnen, warnen die Security-Spezialisten.
Viele Angreifer nutzen sogenannte CommandInjection-(CMDi-)Attacken, die per Script
automatisiert Netze scannen und versuchen, massenhaft IoT-Geräte mit Schadcode zu infiltrieren. Ist das Device geentert, wird Malware nachgeladen, die das betroffene Gerät in aller Regel in ein Botnet integriert. Meist erwischt es IoT-Devices, die nur mit schwachen Passwörtern gesichert sind.
Insgesamt sieht IBM einen Trend, dass Angriffe mehr und mehr darauf ausgelegt sind, Zerstörungen in den betroffenen IT-Systemen anzurichten. Dabei werden oft systemkritische Daten gelöscht oder überschrieben. Derartige Attacken hätten im vergangenen Jahr an Zahl und Wucht zugenommen, heißt es in der X-Force-Untersuchung. Üblicherweise agierten vor allem staatliche Hacker mit destruktiven Absichten. Allerdings sei zuletzt zu beobachten gewesen, dass auch Cyberkriminelle, die versuchten per Datenverschlüsselung Lösegeld zu erpressen, ihre Ransomware zunehmend mit zerstörerischen Komponenten ausstatteten.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellte jüngst fest, dass sich die Bedrohungslage in Sachen Ransomware deutlich verschärft habe. Die Täter seien sich der ganzen Bandbreite ihrer Möglichkeiten bewusst, und die Geschäftsmodelle würden sich gegenseitig inspirieren. Waren in bisherigen Ransomware-as-a-Service-Angeboten auch schon verschiedene Softwareanteile wie beispielsweise Exploit-Kits oder unterschiedliche kryptografische Algorithmen vereint, so hat diese Form der Modularisierung jetzt einen Großteil der Malware-Branche erreicht, schreiben die BSI-Experten.
„Emotet“sei ein Beispiel für diese Entwicklung. Die Funktionen dieser Schadsoftware, die ursprünglich als Banking-Trojaner gestartet war, wurden sukzessive ausgebaut. Neben „klassischen“Malware-Binaries werde nun auch Ransomware nachgeladen. In befallenen Unternehmen kundschafte das Schadprogramm die Netzwerkumgebung aus und führe automatisierte Brute-Force-Methoden durch, um Zugangsdaten der Nutzer zu erbeuten. Damit sei Emotet in der Lage, sich lateral im Netzwerk auszubreiten und zu bewegen. Was der Schädling nicht selbst erspähen könne, werde über nachgeladene Module erledigt. Das BSI warnt deshalb: „Da sich die Module stetig weiterentwickeln und einer ebenso wachsenden Sammlung an Schwachstellen angepasst werden, stellt sich die davon ausgehende Bedrohung als exponentiell wachsend dar.“
Kein Lösegeld zahlen!
Ransomware-Vorfälle fördern Versäumnisse in der Prävention deutlich zutage. Die BSI-Experten nennen unter anderem schlecht gepflegte Systeme, fehlende, veraltete oder nicht überprüfte Software-Backups, schwache Administrator-Passworte und fehlende Netzsegmentierung. Eine zentrale Rolle spiele das Verhalten der Mitarbeiter. Einige Angriffe seien mittlerweile durch Nutzung legitimer Namen und Mails so gut getarnt, dass sie kaum noch zu erkennen seien, warnt das BSI. Problematisch sei auch, dass in vielen Fällen die Opfer das geforderte Lösegeld zahlen würden. In einem Appell fordern der Deutsche Städtetag, der Deutsche Landkreistag, der Deutsche Städteund Gemeindebund, das Bundeskriminalamt und das BSI von Ransomware betroffene Kommunalverwaltungen auf, sich grundsätzlich nicht darauf einzulassen. „Jede Lösegeldzahlung macht eine Erpressung zum Erfolg für den Erpresser und motiviert diesen und andere potenzielle Angreifer zur Fortsetzung und Weiterentwicklung der Angriffe“, heißt es in einer Erklärung. Stattdessen sollte jeder Erpressungsversuch zur Anzeige gebracht und das jeweilige Landes-CERT oder das BSI informiert werden.
Viel zu befürchten haben die Cyber-Kriminellen allerdings nicht. Wenn es den Behörden überhaupt gelingt, die Täter zu identifizieren, operieren die Hacker überwiegend von solchen Ländern aus, in denen eine Strafverfolgung von Deutschland aus kaum oder nur schwer möglich ist.