Die Reihe an Cyberattacken auf kritische Infrastrukturen – KRITIS – scheint nicht mehr abzureißen. Anfang Februar hat ein Hackangriff das Schweizer Unternehmen Swissport erwischt und den Flugbetrieb in der Schweiz gestört, dann der Ransomware-Angriff auf das Tanklager Oiltanking in Deutschland, Attacken auf SEA-Invest in Belgien und Evos in den Niederlanden. Einige Experten-Kommentare.
„Cyberangreifer zielen mit ihren Attacken häufig auf Ziele, an denen sie die größtmögliche Betriebsunterbrechung verursachen können. Auf diese Weise ist das Opfer möglicherweise eher bereit, Lösegeld zu zahlen, um seine Systeme wieder online zu bringen. Aus diesem Grund sind kritische Infrastrukturen, Krankenhäuser, Verkehrsknotenpunkte und städtische Stromnetze häufig in den Nachrichten über Ransomware-Angriffe zu finden. Die Angreifer werden immer Wege finden, um Drucksituationen zu schaffen, die ihnen zugutekommen.
Die Angreifer finden immer neue Wege
Hendrik Schless, Senior Manager of Security Solutions, Lookout (Bild: Lookout).
Ransomware ist keine neue Bedrohung, aber die Taktiken, die Angreifer anwenden, um in die Unternehmensinfrastruktur einzudringen und Ressourcen zu sperren oder zu stehlen, entwickeln sich schnell weiter. Vor Jahren noch haben Angreifer mittels Brute-Force-Taktik eine kleine Schwachstelle in einem Unternehmen gefunden und diese dann ausgenutzt, um die Infrastruktur zu übernehmen. Heutzutage gibt es für Cyberkriminelle viel unauffälligere Wege, um in die Infrastruktur einzudringen. Meistens finden sie heraus, wie sie das Konto eines Mitarbeiters kompromittieren können, um sich mit legitimen Zugangsdaten anzumelden, die keinen Verdacht aufkommen lassen.
Zugangsdaten werden häufig durch Phishing-Angriffe auf mobilen Geräten gestohlen. Auf Smartphones und Tablets haben Angreifer unzählige Möglichkeiten, über SMS, Chat-Plattformen von Drittanbietern und Social-Media-Apps Social Engineering zu betreiben. Neben dem Schutz des Endpunkts müssen Unternehmen auch in der Lage sein, den Zugriff und die Aktionen innerhalb von Cloud- und privaten Anwendungen dynamisch zu sichern. Hier kommen als Lösungen Zero Trust Network Access (ZTNA) und Cloud Access Security Broker (CASB) ins Spiel. Indem sie die Interaktionen zwischen Benutzern, Geräten, Netzwerken und Daten verstehen, können Unternehmen Schlüsselindikatoren für eine Kompromittierung erkennen, die auf Ransomware oder eine massive Datenexfiltration hindeuten. Die gemeinsame Absicherung von mobilen Endgeräten der Mitarbeiter sowie von Cloud- und privaten Anwendungen hilft Unternehmen, eine solide Sicherheitslage zu schaffen, die auf einer Zero-Trust-Philosophie basiert.“
Hendrik Schless, Senior Manager of Security Solutions beim Sicherheitsanbieter Lookout
Geschäftsmodell Ransomware bleibt rentabel
Vectra AI, Fabian Gentinetta (Bild: Vectra AI).
„Ransomware ist das vorherrschende Geschäftsmodell bei Gruppen, die Cyberangriffe aus Profitgründen durchführen. Was wir bei der jüngsten Flut von Angriffen sehen, ist, dass begrenzte Strafverfolgungsmaßnahmen das Problem nicht lösen werden und dies sicherlich nicht über Nacht tun werden. Aber Swissport scheint den Angriff mit minimalem Schaden an seiner Betriebskapazität eingedämmt zu haben, was für die Tatsache spricht, dass Ransomware kein Alles-oder-Nichts-Schachzug ist – der „erfolgreiche, aber begrenzte Ransomware-Angriff“ ist eine Bezeichnung, von der wir hoffen, dass wir mehr sehen werden .
Das Erkennen und Entfernen von Angreifern aus dem Netzwerkwird in vielen Organisationen zur täglichen operativen Aufgabe. Obwohl der Angriff vor der Verschlüsselung nicht gestoppt wurde, scheint Swissport ihn schnell eingedämmt und den Schaden erfolgreich begrenzt zu haben. Am wichtigsten, insbesondere für kritische Infrastrukturen, sind schnelle und funktionierende Backup-Prozesse, wie Swissport eindrucksvoll demonstriert hat.“
Fabian Gentinetta vom Cybersicherheitsexperten Vectra AI
Der Schaden durch Ransomware kann immens sein
„Wir haben gesehen, welchen Schaden Ransomware-Angriffe anrichten können, wenn Unternehmen nicht mehr arbeiten können, was wiederum Auswirkungen auf die Lieferkette hat und das Leben der Bürger beeinträchtigt. Die aktuellen Angriffe auf Oiltanking in Deutschland, SEA-Invest in Belgien und Evos in den Niederlanden sowie Swissport sind besorgniserregend, aber Gespräche über koordinierte Angriffe von Nationalstaaten sind verfrüht. Das wahrscheinlichste Szenario ist, dass die Angreifer mit einer Datenbank arbeiten, die ähnliche Ziele enthält, und mit ihren Bemühungen ins Schwarze treffen.
Zwar kann es Monate dauern, bis die Einzelheiten eines Angriffs geklärt sind, doch erste Berichte deuten darauf hin, dass BlackCat, wobei es sich vermutlich um eine neue Marke von BlackMatter handelt, für die Angriffe auf die Kraftstoffbranche in ganz Europa verantwortlich sein könnte. In einem anderen Fall wurde KP Foods diese Woche ebenfalls Opfer von Ransomware, wobei Conti für die Ausfälle verantwortlich gemacht wurde. Was wir über diese beiden Hackergruppen wissen, ist, dass sie ein Ransomware-as-a-Service (RaaS)-Geschäftsmodell betreiben. Das bedeutet, dass es sich um organisierte Kriminalität mit Opferdatenbanken und zahlreichen Partnern handelt. Diese binden sich nicht an eine bestimmte Ransomware-Gruppe, sondern arbeiten oft mit mehreren Gruppen zusammen und setzen leistungsstarke Bots ein, um die Verbreitung der Malware zu automatisieren.
Bernard Montel, EMEA Technical Director and Security Strategist bei Tenable (Bild: Tenable).
Bots verstärken die Wirkung
Aus der Sicht des Opfers ist es eigentlich irrelevant, wer dafür verantwortlich ist, zumal dies wahrscheinlich erst in einigen Monaten bekannt sein wird. Die wichtige Frage ist jedoch, wie die Angriffe erfolgten. In den meisten Fällen, wie im Fall von BlackMatter und Conti, ist es eine bekannte Schwachstelle, die es der Malware ermöglicht, in die Infrastruktur einzudringen und Systeme zu verschlüsseln. BlackMatter ist dafür bekannt, dass es auf Remote-Desktop-Software abzielt und zuvor kompromittierte Zugangsdaten ausnutzt, während Conti dafür bekannt ist, bei seinen Angriffen Schwachstellen wie Zerologon (CVE-2020-1472), PrintNightmare (CVE-2021-1675, CVE-2021-34527) und EternalBlue (CVE-2017-0143, CVE-2017-0148) zu nutzen. Ein weiterer Angriffspfad ist die Ausnutzung von Fehlkonfigurationen in Active Directory, wobei sowohl Conti als auch BlackMatter dafür bekannt sind, diese Taktik anzuwenden.
Unternehmen müssen beachten, dass grundlegende Sicherheitsprinzipien den Angriffspfad von Ransomware weitestgehend blockieren können. Sicherheitsteams müssen Lösungen einsetzen, die angemessene Transparenz, Sicherheit und Kontrolle über die Cloud und die konvergierte Infrastruktur bieten. Ich rufe Unternehmen auf: Ermitteln Sie die kritischen Systeme, auf die Sie angewiesen ist, um zu funktionieren. Identifizieren Sie alle Schwachstellen, die diese Systeme betreffen, und ergreifen Sie dann Maßnahmen, um das Risiko entweder zu patchen oder zu beheben. Kümmern Sie sich auch um übermäßige Berechtigungen in Active Directory, die es Angreifern ermöglichen, ihre Privilegien zu erhöhen und die Infrastruktur weiter zu infiltrieren! Werden diese grundlegenden Maßnahmen nicht ergriffen, ist das Unternehmen verwundbar und es droht eine Unterbrechung, egal wer angreift.“
Bernard Montel, EMEA Technical Director and Security Strategist bei Tenable