München, Starnberg, 14. Mai 2021 - Experten empfiehlen die Erstellung eines Incident-Response-Plans, der auf das Modell von Ransomware-Angriffen ausgerichtet ist...

Zum Hintergrund: Ransomware hat sich im Laufe der Zeit immer wieder verändert. Wie sehr zeigt aktuell der Colonial Pipeline Ransomware-Angriff auf, der nur Teil einer neuen Welle von Attacken gegen hochrangige Opfer ist. Nach dem Cyberangriff auf eine der größten Benzin-Pipelines der USA war deren Betrieb vorübergehend eingestellt worden. Die böswilligen Akteure sind auf möglichst hohe Erpressungssummen aus und zielen daher auf Organisationen, die eher bereit sind zu zahlen, wenn sie deren Geschäftsbetrieb stören. Der jüngste Angriff ist nach Ansicht von Jon Clay, Director Global Threat Communications somit ein weiterer Weckruf für alle Organisationen, ihre Netzwerke gegen Angriffe zu härten und die Wahrnehmung zu verbessern, wenn sich bösartige Akteure in ihrem Netzwerk befinden. Was können Unternehmen nach Ansicht des Experten tun?

Zum Kommentar: „Ransomware-Angriffe haben viele Stationen durchlaufen und wir beobachten jetzt Phase 4:

1. Phase: Einfach Ransomware, Dateien werden verschlüsselt und dann die Lösegeldforderung abgegeben … und dann auf die Zahlung in Bitcoin warten.

2. Phase: Doppelte Erpressung. Phase 1 + Datenexfiltrierung und Drohung mit der Veröffentlichung. Maze war die erste Erpressungssoftware, das dies tat, und die anderen Akteursgruppen folgten dem Beispiel.

3. Phase: Dreifache Erpressung. Phase 1 + Phase 2 und Drohung mit DDoS. Avaddon war der erste dokumentierte Fall.

4. Phase: Vierfache Erpressung. Phase 1 + (möglicherweise Phase 2 oder Phase 3) + direktes Mailing an den Kundenstamm des  Opfers. Cl0p wurde zum ersten Mal auf diese Weise eingesetzt, beschrieb Brian Krebs.

Meistens handelt es sich heute um doppelte Erpressung, doch sehen wir einen Wechsel hin zum Anvisieren von kritischen Geschäftssystemen. In diesem jüngsten US-Fall scheinen keine OT-Systeme betroffen zu sein, doch waren wahrscheinlich die mit dem Netzwerk verbundenen IT-Systeme das Ziel. Das könnte sich jedoch ändern, da viele Organisationen ein OT-Netzwerk haben, das für ihren Betrieb kritisch ist und daher zum Ziel werden könnte. Trend Micro hat bereits dargestellt, wie Fertigungsunternehmen mit moderner Ransomware angegriffen werden und welche Auswirkungen dies hat.

Konsequenzen

Der Ausfall von Systemen, die den täglichen Geschäftsbetrieb eines Unternehmens steuern, kann finanzielle und Reputationsschäden verursachen. Aber ein Angriff könnte auch unbeabsichtigte Folgen haben, wenn man sich zu prominente Opfer sucht, und der Colonial Pipeline-Angriff könnte ein Beispiel dafür sein. Die Zerstörung eines wichtigen Teils der kritischen Infrastruktur einer Nation, selbst wenn das Motiv „nur“ finanzieller Gewinn ist, könnte zu schwerwiegenden Maßnahmen gegen die Akteure hinter diesem Angriff führen. In Zukunft müssen böswillige Akteure also möglicherweise die potenziellen Auswirkungen des Angriffs auf ihr Ziel abschätzen und entscheiden, ob es geschäftlich sinnvoll ist, mit einem Angriff zu beginnen.

Abb. 1: Von Trend Micro als Mail-Anhang oder bösartige Website entdeckte Ransomware (Bildquelle: Trend Micro Blogpost > Schäden in Fertigungsnetzwerken durch moderne Ransomware).

Gegenmaßnahmen: Ransomware wird auch in Zukunft zum Einsatz kommen. Daher müssen sich Unternehmen die Zeit nehmen, einen Incident-Response-Plan zu erstellen, der auf das neue Modell von Ransomware-Angriffen ausgerichtet ist. Einige Dinge sollten dabei überlegt werden:

1. Akzeptieren Sie, dass Ihr Unternehmen zum Opfer werden kann. Jede Organisation kann unter Umständen auf dem Radar von böswilligen Akteuren sein, aber diejenigen, die in kritischen Infrastrukturen tätig sind, müssen jetzt die Wahrscheinlichkeit abschätzen, angegriffen zu werden.

2. Access-as-a-Service wird jetzt regelmäßig verwendet. Dabei führt in der Regel eine andere Gruppe den ersten Zugriff durch und verkauft ihn an eine andere Gruppe. Zielstrebige Angreifer werden immer einen Weg in Ihr Netzwerk finden, sei es über Phishing, ein anfälliges System, das für das Internet zugänglich ist, oder einen Angriff über die Supply Chain.

3. Der böswillige Einsatz von legitimen Tools gehört zu den beliebtesten Taktiken über den Angriffszyklus hinweg.

4. Anvisiert werden die Account-Zugangsdaten Ihrer wichtigen Administratoren und Anwendungen.

5. Ransomware-Akteure versuchen Daten abzuziehen, die für eine doppelte Erpressung geeignet scheinen.

6. Die Ransomware-Komponente wird die letzte Option in den böswilligen Aktivitäten darstellen, denn sie ist der sichtbarste Teil eines Angriffszyklus und zeigt dem Opfer, dass ein System kompromittiert wurde.

Unternehmen, die OT-Netzwerke betreiben, sollten über folgende Punkte nachdenken:

• Erfassen Sie die Risiken für den Fall, dass Ihr OT-Netzwerk abgeschaltet wird.

• Setzen Sie ein Sicherheitsmodell für die Geräte im OT-Netzwerk auf, vor allem für diejenigen, die keinen Sicherheitsagenten unterstützen.

• Netzwerksegmentierung ist von kritischer Bedeutung.

• Muss Ihr OT-Netzwerk aufgrund einer Kompromittierung des IT-Netzwerks abgeschaltet werden, sollten Sie überlegen, wie Sie diese Einschränkung überwinden können."

Querverweise:

• Unser Beitrag > Mehr Cyber-Resilienz im Stromversorgungssektor verlangt nach einem integrierten Ansatz

ANZEIGE - Object Storage mit Ransomware-Schutz:

• Unser Beitrag > Ransomware: Wie können Firmen die Schäden erfolgreicher Angriffe stärker eingrenzen?

• Unser Beitrag > Backup-Software - effektiver Schutzwall oder Einfallstor gegen Ransomware?

• Unser Beitrag > Mit WORM-Technologien und S3 Object Lock effektiv gegen Ransomware-Angriffe schützen