Wie verhindert man einen Ransomware-Angriff?
Im Februar 2020 berichtete die U.S. Cybersecurity and Infrastructure Security Agency (CISA), dass ein US-Pipeline-Betreiber von einem Ransomware-Angriff (dt. Übersetzung für Ransomware = Lösegeld) betroffen war. In einer der Erdgaskompressionsanlagen eines nicht genannten Betreibers waren sowohl IT- als auch ICS-Anlagen von der Malware betroffen, was zu einem „Verlust des Überblicks“ über den Prozess führte. Ich habe unsere Spezialisten aus dem niederländischen Cybersecurity-Team zu dieser Cyberattacke befragt und habe erfahren, welche Präventionsmaßnahmen notwendig sind, um einen Ransomware-Angriff zu verhindern.
Was war das Ergebnis von diesem Ransomware-Angriff?
Bei dem Ransomware-Angriff forderten die Angreifer, wie in solchen Fällen üblich, eine Lösegeldsumme. Der Angriff selbst wirkte sich nur auf Microsoft Windows-basierte Systeme wie HMI und Historians aus. Controller, PLCs oder andere Level-1-Geräte waren nicht betroffen. Es wurde auch berichtet, dass der Angreifer über keine Fernsteuerung der Operationen verfügte. Selbst wenn also die Steuerungsebene nicht betroffen war, führte die deaktivierte HMI zu einem „Sichtverlust“. Der Operator startete dann absichtlich eine kontrollierte Abschaltung der Anlage. Aufgrund von Abhängigkeiten bei der Pipeline-Übertragung führte dies zu einem Produktionsstillstand der gesamten Pipeline für zwei Tage.
Waren sowohl die IT als auch die OT Netzwerke infiziert?
Nach der Analyse von Security-Experten scheint dieser Ransomware-Angriff nicht speziell auf das ICS-System abgezielt worden zu sein. Dennoch hatte er Auswirkungen auf eine Kompressionsanlage. Die Erstinfektion erfolgte über das IT-Netzwerk, und aufgrund einer schwachen Trennung zwischen dem IT- und dem OT-Netzwerk betraf die Lösegeldforderung auch Windows-basierte ICS-Systeme.
Dieses Risiko gilt für viele ICS-Netzwerke, da die meisten Systeme auf Windows-basierten Systemen basieren und Verbindungen zum IT-Netzwerk des Unternehmens haben. Wenn Angreifer das IT-Netzwerk eines Unternehmens ins Visier nehmen, kann auch das angeschlossene OT-Netzwerk als Kollateralschaden betroffen sein.
Gibt es Details zu der Ransomware und der genauen Lösegeldsumme, die gezahlt worden ist?
Die Malware wurde als „Ryuk“-Ransomware identifiziert, derzeit eines der schädlichsten Ransomware-Programme. Zum Vergleich: Die Hacker verdienten über 3,5 Millionen USD an Lösegeldern, was die Sache zu einem lukrativen Geschäft machte. Die Höhe der betrieblichen Schäden ist natürlich viel höher. Die Malware ist auf Unternehmensumgebungen ausgerichtet, nicht auf einzelne Systeme. Daher muss sie von den Hackern manuell installiert und betrieben werden.
Wie sind die Hacker vorgegangen?
Der erste Angriff war eine Phishing-Mail mit einem bösartigen Link. Von dort aus nutzen die Hacker verschiedene Tools wie PowerShell, Empire und PSExec zur internen Aufklärung, zur Erlangung von Kontenprivilegien und zur Verbreitung der Ryuk-Malware im Netzwerk. Das Remote Desktop Protocol (RDP) wird für die laterale Bewegung verwendet, um schließlich Zugriff auf einen Domaincontroller zu erhalten. Von dort aus werden Batch-Skripte ausgeführt, die auf allen mit der Domäne verbundenen Systemen ausgeführt werden, die Dienste beenden (wie z.B. Virenschutz), Backups entfernen und schließlich die Verschlüsselung der Ryuk-Malware einleiten.
Wie können wir unsere Anlagen gegen einen Ransomware-Angriff schützen?
Hier sind unsere Top 6 Empfehlungen:
Schulen Sie die Mitarbeiter regelmäßig im Erkennen von Phishing-E-Mails und schaffen Sie ein erhöhtes Bewusstsein dafür. Stellen Sie sich die Frage, ob aktuelle Richtlinien wie eine jährliche halbstündige Videoschulung ausreichend sind.
2. Eine strikte Trennung von IT- und OT-Netzwerken ist von entscheidender Bedeutung, um das Risiko zu verringern, dass IT-Netzwerkkompromisse auch die OT-Netzwerke beeinträchtigen;
Halten Sie Windows-Domänen getrennt und konfigurieren Sie extrem strenge Firewalls zwischen beiden Netzwerken.
Implementieren Sie eine verbesserte IT/OT-Netzwerküberwachung.
3. Da diese Art von Malware nicht automatisch installiert und verteilt wird, brauchen die Angreifer im Netzwerk einige Zeit, um sich vorzubereiten. Verschiedene Schritte, wie oben beschrieben, könnten durch Überwachungssoftware erkannt werden.
4. Eine schnelle Reaktion auf einen Vorfall hätte verhindern können, dass der Angriff tatsächlich Schaden anrichtet. Ein IT/OT Security Operation Centre (SOC) wäre ein gutes Beispiel dafür.
5. Neben der Erstellung von Backups sollte auch ein Notfallwiederherstellungsplan für den Fall erstellt werden, dass alle Systeme zur gleichen Zeit nicht mehr verfügbar sind. Testen und trainieren Sie diese Pläne in Simulationen oder Tabletop-Übungen.
6. Halten Sie den Virenschutz auf dem neuesten Stand und pflegen Sie die Patch-Level der Betriebssysteme und aller anderen Anwendungen.
Haben Sie weitere Fragen?
Wenn Sie weitere Fragen haben, kontaktieren Sie uns gerne direkt über unser Kontaktformular. Unser Cybersecurity-Team steht Ihnen mit Rat und Tat zur Seite.
Anatomie eines Cyber-Angriffs - ICS Cyber Kill Chain - Teil 1 Die umfangreichen Cyber-Angriffe bei Öl- und Gasunternehmen haben gezeigt, dass diese Attacken keineswegs nur ein einmaliges Szenario sind. Es bedarf vielmehr eines theoretischen Ansatzes, um die Struktur eines Cyber-Angriffs genauer zu verstehen.
Grundlagen Firewalls & Netzwerksegmentierung
Was ist eine Firewall?
Eine Firewall ist ein Netzwerksicherheitssystem, das eine Barriere zwischen zwei Netzwerken errichtet. Sie dient der Überwachung und Kontrolle des eingehenden und ausgehenden Datenverkehrs, um den unbefugten Zugriff auf Computer und Netzwerke zu verhindern.
Zum Vergleich versteht man unter einer "realen Brandmauer" eine physische Barriere, um die Ausbreitung von Waldbränden zu verlangsamen, bis die Einsatzkräfte sie löschen können. In ähnlicher Weise schränken Firewalls die Ausbreitung von Cyber-Bedrohungen ein, bis die IT-Sicherheitsteams sich mit ihnen befassen können.
Firewalls verwenden einen Satz vorkonfigurierter Regeln, die als Firewall-Sicherheitsrichtlinien (engl. Firewall Security Policies) bekannt sind, um zu bestimmen, wie unerwünschter Datenverkehr erkannt und blockiert werden soll.
Firewall-Regeln prüfen die Kontrollinformationen von Datenpaketen oder die Datenpakete selbst (DPI - Deep Packet Inspection) und erlauben oder blockieren sie dann nach Kriterien, die von den IT- oder Sicherheitsadministratoren festgelegt werden. Diese Regeln sind entscheidend dafür, wie eine Firewall das Netz vor Eindringlingen schützt, und die korrekte Verwaltung ist für die Netzsicherheit von entscheidender Bedeutung.
Heißbegehrt, aber brandgefährlich: Wie Sie gefahrlos öffentliche WLAN-Hotspots nutzen
Wenn der Basisschutz nicht stimmt, sollte man mit Handy, Tablet oder Notebook gar nicht erst online gehen und schon gar nicht an einem Hotspot. Basisschutz bedeutet dabei vor allem Updates und für Windows einen guten Virenschutz. Updates holen Sie sich für Windows, Android und iOS am besten automatisch.
Zusätzlich sollten Sie noch Updates für Programme bzw. Apps auf dem Schirm haben. Auch das geht bei den Smartphones und Tablets ohne großen Aufwand, etwas komplexer ist es bei Windows-Tools. Am wichtigsten sind die Updates für die Browser, denn die stehen ganz vorne in der Schusslinie von Angreifern. Auch hier sollten Sie auf Automatiken setzen.