Im Februar 2020 berichtete die U.S. Cybersecurity and Infrastructure Security Agency (CISA), dass ein US-Pipeline-Betreiber von einem Ransomware-Angriff (dt. Übersetzung für Ransomware = Lösegeld) betroffen war. In einer der Erdgaskompressionsanlagen eines nicht genannten Betreibers waren sowohl IT- als auch ICS-Anlagen von der Malware betroffen, was zu einem “Verlust des Überblicks” über den Prozess führte. Ich habe unsere Spezialisten aus dem niederländischen Cybersecurity-Team zu dieser Cyberattacke befragt und habe erfahren, welche Präventionsmaßnahmen notwendig sind, um einen Ransomware-Angriff zu verhindern.
Was war das Ergebnis von diesem Ransomware-Angriff?
Bei dem Ransomware-Angriff forderten die Angreifer, wie in solchen Fällen üblich, eine Lösegeldsumme. Der Angriff selbst wirkte sich nur auf Microsoft Windows-basierte Systeme wie HMI und Historians aus. Controller, PLCs oder andere Level-1-Geräte waren nicht betroffen. Es wurde auch berichtet, dass der Angreifer über keine Fernsteuerung der Operationen verfügte. Selbst wenn also die Steuerungsebene nicht betroffen war, führte die deaktivierte HMI zu einem “Sichtverlust”. Der Operator startete dann absichtlich eine kontrollierte Abschaltung der Anlage. Aufgrund von Abhängigkeiten bei der Pipeline-Übertragung führte dies zu einem Produktionsstillstand der gesamten Pipeline für zwei Tage.
Waren sowohl die IT als auch die OT Netzwerke infiziert?
Nach der Analyse von Security-Experten scheint dieser Ransomware-Angriff nicht speziell auf das ICS-System abgezielt worden zu sein. Dennoch hatte er Auswirkungen auf eine Kompressionsanlage. Die Erstinfektion erfolgte über das IT-Netzwerk, und aufgrund einer schwachen Trennung zwischen dem IT- und dem OT-Netzwerk betraf die Lösegeldforderung auch Windows-basierte ICS-Systeme.
Dieses Risiko gilt für viele ICS-Netzwerke, da die meisten Systeme auf Windows-basierten Systemen basieren und Verbindungen zum IT-Netzwerk des Unternehmens haben. Wenn Angreifer das IT-Netzwerk eines Unternehmens ins Visier nehmen, kann auch das angeschlossene OT-Netzwerk als Kollateralschaden betroffen sein.
Gibt es Details zu der Ransomware und der genauen Lösegeldsumme, die gezahlt worden ist?
Die Malware wurde als “Ryuk”-Ransomware identifiziert, derzeit eines der schädlichsten Ransomware-Programme. Zum Vergleich: Die Hacker verdienten über 3,5 Millionen USD an Lösegeldern, was die Sache zu einem lukrativen Geschäft machte. Die Höhe der betrieblichen Schäden ist natürlich viel höher. Die Malware ist auf Unternehmensumgebungen ausgerichtet, nicht auf einzelne Systeme. Daher muss sie von den Hackern manuell installiert und betrieben werden.
Wie sind die Hacker vorgegangen?
Der erste Angriff war eine Phishing-Mail mit einem bösartigen Link. Von dort aus nutzen die Hacker verschiedene Tools wie PowerShell, Empire und PSExec zur internen Aufklärung, zur Erlangung von Kontenprivilegien und zur Verbreitung der Ryuk-Malware im Netzwerk. Das Remote Desktop Protocol (RDP) wird für die laterale Bewegung verwendet, um schließlich Zugriff auf einen Domaincontroller zu erhalten. Von dort aus werden Batch-Skripte ausgeführt, die auf allen mit der Domäne verbundenen Systemen ausgeführt werden, die Dienste beenden (wie z.B. Virenschutz), Backups entfernen und schließlich die Verschlüsselung der Ryuk-Malware einleiten.
Wie können wir unsere Anlagen gegen einen Ransomware-Angriff schützen?
Hier sind unsere Top 6 Empfehlungen:
Schulen Sie die Mitarbeiter regelmäßig im Erkennen von Phishing-E-Mails und schaffen Sie ein erhöhtes Bewusstsein dafür. Stellen Sie sich die Frage, ob aktuelle Richtlinien wie eine jährliche halbstündige Videoschulung ausreichend sind.
2. Eine strikte Trennung von IT- und OT-Netzwerken ist von entscheidender Bedeutung, um das Risiko zu verringern, dass IT-Netzwerkkompromisse auch die OT-Netzwerke beeinträchtigen;
[list][item icon=”fa-check” ]Halten Sie Windows-Domänen getrennt und konfigurieren Sie extrem strenge Firewalls zwischen beiden Netzwerken.[/item][/list]
[list][item icon=”fa-check” ]Implementieren Sie eine verbesserte IT/OT-Netzwerküberwachung.[/item][/list]
3. Da diese Art von Malware nicht automatisch installiert und verteilt wird, brauchen die Angreifer im Netzwerk einige Zeit, um sich vorzubereiten. Verschiedene Schritte, wie oben beschrieben, könnten durch Überwachungssoftware erkannt werden.
4. Eine schnelle Reaktion auf einen Vorfall hätte verhindern können, dass der Angriff tatsächlich Schaden anrichtet. Ein IT/OT Security Operation Centre (SOC) wäre ein gutes Beispiel dafür.
5. Neben der Erstellung von Backups sollte auch ein Notfallwiederherstellungsplan für den Fall erstellt werden, dass alle Systeme zur gleichen Zeit nicht mehr verfügbar sind. Testen und trainieren Sie diese Pläne in Simulationen oder Tabletop-Übungen.
6. Halten Sie den Virenschutz auf dem neuesten Stand und pflegen Sie die Patch-Level der Betriebssysteme und aller anderen Anwendungen.
Haben Sie weitere Fragen?
Wenn Sie weitere Fragen haben, kontaktieren Sie uns gerne direkt über unser Kontaktformular. Unser Cybersecurity-Team steht Ihnen mit Rat und Tat zur Seite.