{"id":12648,"date":"2020-07-02T03:46:53","date_gmt":"2020-07-02T01:46:53","guid":{"rendered":"https:\/\/www.yokogawa.com\/eu\/blog\/renewables\/ransomware-angriff\/"},"modified":"2022-09-14T11:43:05","modified_gmt":"2022-09-14T09:43:05","slug":"ransomware-angriff","status":"publish","type":"post","link":"https:\/\/www.yokogawa.com\/eu\/blog\/renewables\/de\/ransomware-angriff\/","title":{"rendered":"Wie verhindert man einen Ransomware-Angriff?"},"content":{"rendered":"

Im Februar 2020 berichtete die U.S. Cybersecurity<\/a> and Infrastructure Security Agency (CISA), dass ein US-Pipeline-Betreiber von einem Ransomware-Angriff (dt. \u00dcbersetzung f\u00fcr Ransomware = L\u00f6segeld)<\/em> betroffen war. In einer der Erdgaskompressionsanlagen eines nicht genannten Betreibers waren sowohl IT- als auch ICS-Anlagen von der Malware betroffen, was zu einem “Verlust des \u00dcberblicks” \u00fcber den Prozess f\u00fchrte. Ich habe unsere Spezialisten aus dem niederl\u00e4ndischen Cybersecurity-Team zu dieser Cyberattacke<\/a> befragt und habe erfahren, welche Pr\u00e4ventionsma\u00dfnahmen notwendig sind, um einen Ransomware-Angriff zu verhindern.<\/p>\n

Was war das Ergebnis von diesem Ransomware-Angriff?<\/h2>\n

Bei dem Ransomware-Angriff forderten die Angreifer, wie in solchen F\u00e4llen \u00fcblich, eine L\u00f6segeldsumme. Der Angriff selbst wirkte sich nur auf Microsoft Windows-basierte Systeme wie HMI und Historians aus. Controller, PLCs oder andere Level-1-Ger\u00e4te waren nicht betroffen. Es wurde auch berichtet, dass der Angreifer \u00fcber keine Fernsteuerung der Operationen verf\u00fcgte. Selbst wenn also die Steuerungsebene nicht betroffen war, f\u00fchrte die deaktivierte HMI zu einem “Sichtverlust”. Der Operator startete dann absichtlich eine kontrollierte Abschaltung der Anlage. Aufgrund von Abh\u00e4ngigkeiten bei der Pipeline-\u00dcbertragung f\u00fchrte dies zu einem Produktionsstillstand der gesamten Pipeline f\u00fcr zwei Tage.<\/p>\n

Waren sowohl die IT als auch die OT Netzwerke infiziert?<\/h2>\n

Nach der Analyse von Security-Experten scheint dieser Ransomware-Angriff nicht speziell auf das ICS-System abgezielt worden zu sein. Dennoch hatte er Auswirkungen auf eine Kompressionsanlage. Die Erstinfektion erfolgte \u00fcber das IT-Netzwerk, und aufgrund einer schwachen Trennung zwischen dem IT- und dem OT-Netzwerk betraf die L\u00f6segeldforderung auch Windows-basierte ICS-Systeme.<\/p>\n

Dieses Risiko gilt f\u00fcr viele ICS-Netzwerke, da die meisten Systeme auf Windows-basierten Systemen basieren und Verbindungen zum IT-Netzwerk des Unternehmens haben. Wenn Angreifer das IT-Netzwerk eines Unternehmens ins Visier nehmen, kann auch das angeschlossene OT-Netzwerk als Kollateralschaden betroffen sein.<\/p>\n

Gibt es Details zu der Ransomware und der genauen L\u00f6segeldsumme, die gezahlt worden ist?<\/h2>\n

Die Malware wurde als “Ryuk”-Ransomware identifiziert, derzeit eines der sch\u00e4dlichsten Ransomware-Programme. Zum Vergleich: Die Hacker verdienten \u00fcber 3,5 Millionen USD an L\u00f6segeldern, was die Sache zu einem lukrativen Gesch\u00e4ft machte. Die H\u00f6he der betrieblichen Sch\u00e4den ist nat\u00fcrlich viel h\u00f6her. Die Malware ist auf Unternehmensumgebungen ausgerichtet, nicht auf einzelne Systeme. Daher muss sie von den Hackern<\/a> manuell installiert und betrieben werden.<\/p>\n

Wie sind die Hacker vorgegangen?<\/h2>\n

Der erste Angriff war eine Phishing-Mail<\/a> mit einem b\u00f6sartigen Link. Von dort aus nutzen die Hacker verschiedene Tools wie PowerShell, Empire und PSExec zur internen Aufkl\u00e4rung, zur Erlangung von Kontenprivilegien und zur Verbreitung der Ryuk-Malware im Netzwerk. Das Remote Desktop Protocol (RDP) wird f\u00fcr die laterale Bewegung verwendet, um schlie\u00dflich Zugriff auf einen Domaincontroller zu erhalten. Von dort aus werden Batch-Skripte ausgef\u00fchrt, die auf allen mit der Dom\u00e4ne verbundenen Systemen ausgef\u00fchrt werden, die Dienste beenden (wie z.B. Virenschutz), Backups entfernen und schlie\u00dflich die Verschl\u00fcsselung der Ryuk-Malware einleiten.<\/p>\n

Wie k\u00f6nnen wir unsere Anlagen gegen einen Ransomware-Angriff sch\u00fctzen?<\/h2>\n

Hier sind unsere Top 6 Empfehlungen:<\/p>\n

Schulen Sie die Mitarbeiter regelm\u00e4\u00dfig im Erkennen von Phishing-E-Mails und schaffen Sie ein erh\u00f6htes Bewusstsein daf\u00fcr. Stellen Sie sich die Frage, ob aktuelle Richtlinien wie eine j\u00e4hrliche halbst\u00fcndige Videoschulung ausreichend sind.<\/p>\n

2. Eine strikte Trennung von IT- und OT-Netzwerken ist von entscheidender Bedeutung, um das Risiko zu verringern, dass IT-Netzwerkkompromisse auch die OT-Netzwerke beeintr\u00e4chtigen;<\/p>\n

[list][item icon=”fa-check” ]Halten Sie Windows-Dom\u00e4nen getrennt und konfigurieren Sie extrem strenge Firewalls zwischen beiden Netzwerken.[\/item][\/list]
\n[list][item icon=”fa-check” ]Implementieren Sie eine verbesserte IT\/OT-Netzwerk\u00fcberwachung.[\/item][\/list]<\/p>\n

3. Da diese Art von Malware nicht automatisch installiert und verteilt wird, brauchen die Angreifer im Netzwerk einige Zeit, um sich vorzubereiten. Verschiedene Schritte, wie oben beschrieben, k\u00f6nnten durch \u00dcberwachungssoftware erkannt werden.<\/p>\n

4. Eine schnelle Reaktion auf einen Vorfall h\u00e4tte verhindern k\u00f6nnen, dass der Angriff tats\u00e4chlich Schaden anrichtet. Ein IT\/OT Security Operation Centre (SOC) w\u00e4re ein gutes Beispiel daf\u00fcr.<\/p>\n

5. Neben der Erstellung von Backups sollte auch ein Notfallwiederherstellungsplan f\u00fcr den Fall erstellt werden, dass alle Systeme zur gleichen Zeit nicht mehr verf\u00fcgbar sind. Testen und trainieren Sie diese Pl\u00e4ne in Simulationen oder Tabletop-\u00dcbungen.<\/p>\n

6. Halten Sie den Virenschutz auf dem neuesten Stand und pflegen Sie die Patch-Level der Betriebssysteme und aller anderen Anwendungen.<\/p>\n

Haben\u00a0 Sie weitere Fragen?<\/h2>\n

Wenn Sie weitere Fragen haben, kontaktieren Sie uns gerne direkt \u00fcber unser Kontaktformular<\/a>. Unser Cybersecurity-Team<\/a> steht Ihnen mit Rat und Tat zur Seite.<\/p>\n

\n

Anatomie eines Cyber-Angriffs – Teil 1<\/a><\/p><\/blockquote>\n