Ransomware-Angriffe sind weltweit das größte Cyberrisiko für Unternehmen im Energiesektor und Kritische Infrastrukturen. Es ist das Herzstück einer jeden Cybersicherheitsstrategie, schädliche Aktivitäten bereits in der Vorbereitungsphase eines Angriffs zu erkennen, um Störungen zu verhindern.
Der jüngste ESXiArgs-Ransomware-Angriff auf VMware-Server hat Unternehmen weltweit erschüttert. Der Vorfall unterstreicht nicht nur das Risiko, dem jede Organisation ausgesetzt ist, wenn ein Unternehmen der eigenen Lieferkette Opfer eines Angriffs wird. Er beweist auch, dass das Konzept der "100%igen Sicherheit" längst überholt ist.
Ein Grund dafür ist, dass die grundlegende Abhängigkeit von Drittanbietern immer eine Sicherheitslücke hinterlässt. Denn deren Spielfeld liegt außerhalb des Einflussbereichs des Unternehmens, das deren Services und Produkte einsetzt. Tatsächlich können Unternehmen nie sicher sein, welche Sicherheitsstufe eine Software- oder Hardwarekomponente hat – wenn sie überhaupt eine hat. Dies gilt insbesondere für Kritische Infrastrukturen und Industrieunternehmen, in denen Komponenten und Systeme der OT-Netzwerke (Operational Technology) nach wie vor selten Sicherheitsfunktionen besitzen oder noch nicht entdeckte Zero-Day-Schwachstellen aufweisen. Dabei stehen Unternehmen mehr als 247 Millionen Malware-Bedrohungen pro Jahr gegenüber.
Betrifft Ransomware nicht nur die IT?
Systemintegration, (I)IoT-Anwendungen und die Verbindung der OT mit IT-Netzwerken setzen diese unsicheren industriellen Systeme und Komponenten der gesamten aus der IT bekannten Bedrohungslandschaft aus. Diese Überschneidung macht die OT genauso anfällig, wenn nicht sogar anfälliger als die IT.
Wenn ein Ransomware-Angriff ein Industrieunternehmen trifft, ist die Wahrscheinlichkeit groß, dass industrielle Prozesse betroffen sind. Insbesondere für Kritische Infrastrukturen kann dies katastrophale (d. h. gesellschaftliche und politische) Auswirkungen haben. Darüber hinaus gab die Anonymous-Untergruppe GhostSec im Januar 2023 bekannt, dass sie in der Lage war, eine Remote Terminal Unit (RTU) zu verschlüsseln, die in industriellen Netzwerken läuft. Diese neuen Entwicklungen machen gezielte Ransomware-Angriffe auf OT-Netzwerke zu einem sehr realen Risiko.
Sind Ransomware-Angriffe nicht zu schnell zum Abwehren?
Ransomware-Angriffe werden meist so wahrgenommen, als würden sie von jetzt auf gleich passieren. Plötzlich sind alle Computer verschlüsselt und die Daten verloren. Diese Wahrnehmung mag in der Vergangenheit zutreffend gewesen sein, als die Schadsoftware über einen E-Mail-Anhang auf einen Computer gelangte und sofort mit der Verschlüsselung des Computers begann.
Heutzutage sind Ransomware-Angriffe ausgeklügelter und gehen viel weiter. Es kann Krypto-Malware geben, die als Würmer verpackt ist (d. h. mit Replikationsfunktionen) und mit einem Befehls- und Kontrollserver kommuniziert, der auf einer öffentlichen IP-Adresse gehostet wird. Diese Strategie ermöglicht es den Angreifenden, ihren Angriff sorgfältig zu planen und höhere Erlöse von Unternehmen zu fordern. Das machen sie unter anderem, indem sie:
- zusätzliche Cracking-Tools hochladen,
- Unternehmensdaten herunterladen und analysieren, um deren Wert zu ermitteln sowie diese als Druckmittel zu nutzen oder – als Backup – am Schwarzmarkt zu verkaufen,
- das Netzwerk für die weitere Ausbreitung der Bedrohung zu erkunden und
- so viele Geräte wie möglich zu infizieren, bevor die Verschlüsselung ausgelöst wird.
Dieser Vorbereitungsprozess kann sich über Tage oder Monate ziehen.
In dieser Vorbereitungsphase hat ein Network Intrusion Detection System (NIDS) die Chance, die vorbereitenden Aktivitäten des Angreifers zu erkennen. Das gilt insbesondere in den frühen Stadien der Cyber-Kill-Chain, während der internen Aufklärung und der lateralen Bewegung. Diese frühzeitige Erkennung, die auf dem Paradigma der OT-Sichtbarkeit aufbaut, ermöglicht es den Betreibern, den Angriff zu stoppen, bevor dieser Systeme und Dienste stört.
Wie ein OT-Monitoring mit Anomalieerkennung diese Aktivitäten eines Ransomware-Angriff frühzeitig detektiert, erklären wir in Teil 2 dieses Blogposts, welcher in Kürze erscheint.