Cyberangriffe auf Unternehmen sorgen weiterhin für Schlagzeilen. Zuletzt hat es einen der weltweit größten Aluminiumproduzenten getroffen: Der norwegische Konzern Norsk Hydro wurde Opfer eines umfangreichen Cyberangriffs, der sich massiv auf den Betrieb in mehreren Geschäftsbereichen des Unternehmens auswirkte. Hinter dem Angriff soll die Ransomware LockerGoga stecken, die im Übrigen von den Endpoint-Lösungen von F-Secure erkannt wird.
So geht LockerGoga vor
Die ungewöhnliche Ransomware deaktiviert sämtliche Netzwerkschnittstellen und verlangt Administratorrechte. Nach der Ausführung beginnt sie sofort damit, alles mit Hilfe der beiden Bibliotheken für C++ Boost und CryptoPP zu verschlüsseln – mit Ausnahme des Verzeichnisses „C:\Windows“ und dessen Unterordnern. Verschlüsselte Dateien erhalten die Endung „.locked“. Bedrohungsforscher von F-Secure Labs berichten, dass die Malware die Passwörter aller Benutzerkonten ändert und auf „HuHuHUHoHoHoHo283283@dJD“ setzt. LockerGoga ist nach Angaben der Forscher auch ohne Netzwerkverbindung voll funktionsfähig und legt eine Lösegeldnotiz namens „README_LOCKED.TXT“ im Ordner „Public Desktop“ ab, der für alle Benutzer sichtbar ist. Darin wird eine Zahlung gefordert, um die Dateien wieder zu entschlüsseln.
Tom Van de Wiele, leitender Sicherheitsberater bei F-Secure
Tom Van de Wiele, leitender Sicherheitsberater bei F-Secure, hält es für wichtig herauszufinden, wer die Angreifer sein könnten, da der Angriff auf eine Industrieanlage gestartet wurde, deren potenzielle Fehlfunktion nationale oder sogar politische Folgen haben könnte. „Ransomware zielt in der Regel auf eine schnelle Auszahlung an den Kriminellen ab. Auf der anderen Seite kann Ransomware dazu eingesetzt werden, entweder die Reaktionsfähigkeit eines Unternehmens zu testen oder als Ablenkung zu dienen“, so Van de Wiele. Man könne davon ausgehen, dass es mehrere Einfallstore für die Ransomware gab, da beim Betrieb einer industriellen Anlage sicherlich eine Menge IT- und Service-Provider involviert seien.
Komplexe IT ist fehleranfällig
Die Fertigungsindustrie ist eines der bevorzugten Ziele von Cyberkriminellen. 86% der Cyber-Angriffe in der Fertigung sind gezielt. Davon machen 66% Hacking aus, nur 34% Malware. Während fast die Hälfte (47%) der Verstöße auf den Diebstahl geistigen Eigentums zurückzuführen sind, um Wettbewerbsvorteile zu erlangen, werden 53% der Angriffe von staatlich organisierten Akteuren und 35% von organisierter Kriminalität durchgeführt.
Darüber hinaus hat dieser Sektor mit der Konvergenz von IT (Informationstechnologie) und OT (Betriebstechnik) eine Reihe von technologischen Herausforderungen zu bewältigen. Die Daten müssen von all den verschiedenen verteilten Legacy-Steuerungssystemen in den Werken stammen, was bedeutet, dass eine bessere Konnektivität zwischen dem Unternehmen und den Produktionsnetzwerken sowohl erforderlich als auch zunehmend erforderlich ist.
Die Betriebstechnik unterscheidet sich von der traditionellen Informationstechnologie, wobei beide Welten unterschiedliche Denkweisen und Prioritäten haben. Weniger Backups und eine erhöhte Abhängigkeit von weniger Anlagen bedeuten, dass jede Störung in der gesamten Lieferkette zusätzliche Folgen haben könnte. Die Konsolidierung von Abläufen kann die Widerstandsfähigkeit des Unternehmens und die Redundanz beeinträchtigen, und es können neue einzelne kritische Fehlerquellen entstehen.
Systeme, die nicht mit der Zeit gehen
Viele der heute betriebenen Altsysteme wurden vor Jahrzehnten gebaut, bevor das Internet im täglichen Gebrauch war und als Cybersicherheit sich keiner realistischen Bedrohung aussetzen musste. Infolgedessen hat die Umstellung dieser Systeme auf das Internet sie für Angriffe aus einer Vielzahl von Blickwinkeln geöffnet, denn die Sicherheitskontrollen, die wir heute als selbstverständlich betrachten, waren nie in diese alten Protokolle und Systeme integriert worden.
Darüber hinaus sind Updates und Sicherheitspatches auch eine schwierige Herausforderung – vor allem, wenn ein System ständig “eingeschaltet” sein muss und wenig bis keine Zeit für kritische Sicherheitsverbesserungen bleibt. Ebenso wird jedes millionenschwere System, das jahrzehntelang funktionsfähig sein soll, nicht ohne weiteres verworfen und durch ein neues ersetzt werden, auch wenn es als unsicher gilt.
Das schwächste Glied in der Sicherheitskette ist nicht immer das Unternehmen an sich
Im Allgemeinen zielt ein Angriff auf die Lieferkette eines Unternehmens über einen Dritten, einen Lieferanten oder einen Partner ab. Man bezeichnet dies auch als Wertschöpfungskette oder Angriff eines Drittanbieters und soll die Systeme eines Unternehmens über schutzbedürftige Elemente in ihrem Partnernetzwerk infiltrieren. Während das schwächste Glied in der Sicherheitskette eines Unternehmens außerhalb des Unternehmens liegen kann, sind Menschen diejenigen, die von Angreifern am häufigsten ausgenutzt werden. Der häufigste Infektionsvektor ist die über Spear Phishing-E-Mail. Zu den Methoden, mit denen Kriminelle ihre Ziele herausfinden, gehört Social Engineering, wobei typische Dienste LinkedIn sind.
Der leitende Sicherheitsberater von F-Secure, Tom Van de Wiele, kommentiert den Fall Norsk Hydro so: „Wir können wahrscheinlich davon ausgehen, dass der Einstieg in das, was heute als Ransomware bezeichnet wird, aus verschiedenen Blickwinkeln hätte erfolgen können, da sie eine Industrieanlage betreiben, mit der wir eine ganze Reihe von IT- und anderen Dienstleistern erwarten können“.
Dies könnte ein exponiertes internetfähiges System sein, das zufällig oder durch einen gezielten Angreifer gefunden wurde, auf das der Zugriff erfolgt ist und das die Malware in so vielen Systemen wie möglich eingeführt wurde. Eine weitere Möglichkeit könnte sein, dass der Auftragnehmer die Malware in seinem Netzwerk oder einem anderen Zugangspunkt eingeführt hat, indem er sie von einem anderen Ort oder als Ergebnis eines opportunistischen oder gezielten Angriffs aufnimmt. Drittens, und höchstwahrscheinlich, hat jemand im Unternehmen eine E-Mail mit einem bösartigen Anhang erhalten.
Die Details über die ersten und dritten möglichen Angriffsoberflächen sind noch nicht vollständig. Tom ist jedoch der Meinung, dass, wenn es um die Trennung von Netzwerken und die Sicherstellung der Trennung von administrativen Netzwerken von Produktionsnetzwerken geht, etwas schief gelaufen ist, indem diese Trennung Realität wurde. Alternativ war der Angriff von so großer Tragweite, dass der Angreifer in der Lage war, von einem Netzwerk zum anderen zu gelangen.
Es ist natürlich unmöglich vorherzusagen, wann der nächste ausgeklügelte Exploit oder die nächsten Schwachstellen offenbart werden, aber sie werden mit Sicherheit innerhalb von Stunden oder Tagen für den Einsatz in gezielten Angriffen oder unspezifischen Kampagnen ausgenutzt werden.
Kategorien