Immer mehr Angriffe auf kritische Infrastrukturen

Immer mehr Angriffe auf kritische Infrastrukturen
Anzeige

Beitrag teilen

Die Reihe an Cyberattacken auf kritische Infrastrukturen – KRITIS – scheint nicht mehr abzureißen. Anfang Februar hat ein Hackangriff das Schweizer Unternehmen Swissport erwischt und den Flugbetrieb in der Schweiz gestört, dann der Ransomware-Angriff auf das Tanklager Oiltanking in Deutschland, Attacken auf SEA-Invest in Belgien und Evos in den Niederlanden. Einige Experten-Kommentare.  

„Cyberangreifer zielen mit ihren Attacken häufig auf Ziele, an denen sie die größtmögliche Betriebsunterbrechung verursachen können. Auf diese Weise ist das Opfer möglicherweise eher bereit, Lösegeld zu zahlen, um seine Systeme wieder online zu bringen. Aus diesem Grund sind kritische Infrastrukturen, Krankenhäuser, Verkehrsknotenpunkte und städtische Stromnetze häufig in den Nachrichten über Ransomware-Angriffe zu finden. Die Angreifer werden immer Wege finden, um Drucksituationen zu schaffen, die ihnen zugutekommen.

Anzeige

Die Angreifer finden immer neue Wege

Hendrik Schless, Senior Manager of Security Solutions, Lookout (Bild: Lookout).

Ransomware ist keine neue Bedrohung, aber die Taktiken, die Angreifer anwenden, um in die Unternehmensinfrastruktur einzudringen und Ressourcen zu sperren oder zu stehlen, entwickeln sich schnell weiter. Vor Jahren noch haben Angreifer mittels Brute-Force-Taktik eine kleine Schwachstelle in einem Unternehmen gefunden und diese dann ausgenutzt, um die Infrastruktur zu übernehmen. Heutzutage gibt es für Cyberkriminelle viel unauffälligere Wege, um in die Infrastruktur einzudringen. Meistens finden sie heraus, wie sie das Konto eines Mitarbeiters kompromittieren können, um sich mit legitimen Zugangsdaten anzumelden, die keinen Verdacht aufkommen lassen.

Zugangsdaten werden häufig durch Phishing-Angriffe auf mobilen Geräten gestohlen. Auf Smartphones und Tablets haben Angreifer unzählige Möglichkeiten, über SMS, Chat-Plattformen von Drittanbietern und Social-Media-Apps Social Engineering zu betreiben. Neben dem Schutz des Endpunkts müssen Unternehmen auch in der Lage sein, den Zugriff und die Aktionen innerhalb von Cloud- und privaten Anwendungen dynamisch zu sichern. Hier kommen als Lösungen Zero Trust Network Access (ZTNA) und Cloud Access Security Broker (CASB) ins Spiel. Indem sie die Interaktionen zwischen Benutzern, Geräten, Netzwerken und Daten verstehen, können Unternehmen Schlüsselindikatoren für eine Kompromittierung erkennen, die auf Ransomware oder eine massive Datenexfiltration hindeuten. Die gemeinsame Absicherung von mobilen Endgeräten der Mitarbeiter sowie von Cloud- und privaten Anwendungen hilft Unternehmen, eine solide Sicherheitslage zu schaffen, die auf einer Zero-Trust-Philosophie basiert.“

Anzeige

Hendrik Schless, Senior Manager of Security Solutions beim Sicherheitsanbieter Lookout

 


Geschäftsmodell Ransomware bleibt rentabel

Vectra AI, Fabian Gentinetta (Bild: Vectra AI).

„Ransomware ist das vorherrschende Geschäftsmodell bei Gruppen, die Cyberangriffe aus Profitgründen durchführen. Was wir bei der jüngsten Flut von Angriffen sehen, ist, dass begrenzte Strafverfolgungsmaßnahmen das Problem nicht lösen werden und dies sicherlich nicht über Nacht tun werden. Aber Swissport scheint den Angriff mit minimalem Schaden an seiner Betriebskapazität eingedämmt zu haben, was für die Tatsache spricht, dass Ransomware kein Alles-oder-Nichts-Schachzug ist – der „erfolgreiche, aber begrenzte Ransomware-Angriff“ ist eine Bezeichnung, von der wir hoffen, dass wir mehr sehen werden .

Das Erkennen und Entfernen von Angreifern aus dem Netzwerkwird in vielen Organisationen zur täglichen operativen Aufgabe. Obwohl der Angriff vor der Verschlüsselung nicht gestoppt wurde, scheint Swissport ihn schnell eingedämmt und den Schaden erfolgreich begrenzt zu haben. Am wichtigsten, insbesondere für kritische Infrastrukturen, sind schnelle und funktionierende Backup-Prozesse, wie Swissport eindrucksvoll demonstriert hat.“

Fabian Gentinetta vom Cybersicherheitsexperten Vectra AI

 


Der Schaden durch Ransomware kann immens sein

„Wir haben gesehen, welchen Schaden Ransomware-Angriffe anrichten können, wenn Unternehmen nicht mehr arbeiten können, was wiederum Auswirkungen auf die Lieferkette hat und das Leben der Bürger beeinträchtigt. Die aktuellen Angriffe auf Oiltanking in Deutschland, SEA-Invest in Belgien und Evos in den Niederlanden sowie Swissport sind besorgniserregend, aber Gespräche über koordinierte Angriffe von Nationalstaaten sind verfrüht. Das wahrscheinlichste Szenario ist, dass die Angreifer mit einer Datenbank arbeiten, die ähnliche Ziele enthält, und mit ihren Bemühungen ins Schwarze treffen.

Zwar kann es Monate dauern, bis die Einzelheiten eines Angriffs geklärt sind, doch erste Berichte deuten darauf hin, dass BlackCat, wobei es sich vermutlich um eine neue Marke von BlackMatter handelt, für die Angriffe auf die Kraftstoffbranche in ganz Europa verantwortlich sein könnte. In einem anderen Fall wurde KP Foods diese Woche ebenfalls Opfer von Ransomware, wobei Conti für die Ausfälle verantwortlich gemacht wurde. Was wir über diese beiden Hackergruppen wissen, ist, dass sie ein Ransomware-as-a-Service (RaaS)-Geschäftsmodell betreiben. Das bedeutet, dass es sich um organisierte Kriminalität mit Opferdatenbanken und zahlreichen Partnern handelt. Diese binden sich nicht an eine bestimmte Ransomware-Gruppe, sondern arbeiten oft mit mehreren Gruppen zusammen und setzen leistungsstarke Bots ein, um die Verbreitung der Malware zu automatisieren.

Bernard Montel, EMEA Technical Director and Security Strategist bei Tenable (Bild: Tenable).

Bots verstärken die Wirkung

Aus der Sicht des Opfers ist es eigentlich irrelevant, wer dafür verantwortlich ist, zumal dies wahrscheinlich erst in einigen Monaten bekannt sein wird. Die wichtige Frage ist jedoch, wie die Angriffe erfolgten. In den meisten Fällen, wie im Fall von BlackMatter und Conti, ist es eine bekannte Schwachstelle, die es der Malware ermöglicht, in die Infrastruktur einzudringen und Systeme zu verschlüsseln. BlackMatter ist dafür bekannt, dass es auf Remote-Desktop-Software abzielt und zuvor kompromittierte Zugangsdaten ausnutzt, während Conti dafür bekannt ist, bei seinen Angriffen Schwachstellen wie Zerologon (CVE-2020-1472), PrintNightmare (CVE-2021-1675, CVE-2021-34527) und EternalBlue (CVE-2017-0143, CVE-2017-0148) zu nutzen. Ein weiterer Angriffspfad ist die Ausnutzung von Fehlkonfigurationen in Active Directory, wobei sowohl Conti als auch BlackMatter dafür bekannt sind, diese Taktik anzuwenden.

Unternehmen müssen beachten, dass grundlegende Sicherheitsprinzipien den Angriffspfad von Ransomware weitestgehend blockieren können. Sicherheitsteams müssen Lösungen einsetzen, die angemessene Transparenz, Sicherheit und Kontrolle über die Cloud und die konvergierte Infrastruktur bieten. Ich rufe Unternehmen auf: Ermitteln Sie die kritischen Systeme, auf die Sie angewiesen ist, um zu funktionieren. Identifizieren Sie alle Schwachstellen, die diese Systeme betreffen, und ergreifen Sie dann Maßnahmen, um das Risiko entweder zu patchen oder zu beheben. Kümmern Sie sich auch um übermäßige Berechtigungen in Active Directory, die es Angreifern ermöglichen, ihre Privilegien zu erhöhen und die Infrastruktur weiter zu infiltrieren! Werden diese grundlegenden Maßnahmen nicht ergriffen, ist das Unternehmen verwundbar und es droht eine Unterbrechung, egal wer angreift.“

Bernard Montel, EMEA Technical Director and Security Strategist bei Tenable

 

Passende Artikel zum Thema

Angriff auf Tankstellenzulieferer Oiltanking

Höchst verwundbar – das ist der Expertenkommentar von Max Rahner, Sales Director DACH des Cybersecurity-Anbieters Claroty, zum Angriff auf den ➡ Weiterlesen

Neue Ransomware-Gruppe ALPHV – BlackCat

Benzinversorger Oiltanking ist prominentes Opfer der neuen Ransomware-Gruppe ALPHV - BlackCat. Varonis Threat Labs: Gezielte Rekrutierung von Partnern durch finanziell attraktive ➡ Weiterlesen

Cyberangriff auf Benzinversorger Oiltanking mit Ransomware „BlackCat“

Palo Alto Networks liefert Hintergründe zur neuen Erpresser-Malware Ransomware „BlackCat“ die beim Cyberangriff auf den deutschen Benzinversorger Oiltanking verwendet wurde. BlackCat ➡ Weiterlesen

Jedes fünfte Unternehmen schlecht auf Angriffe vorbereitet

Das Handelsblatt Research Institute hat im Auftrag von TeamViewer bei der Jahrestagung Cybersecurity 2021 eine Umfrage unter IT-Entscheidern durchgeführt: Jedes ➡ Weiterlesen

Webinar 4. Februar 2022: MDR – Angriffe frühzeitig erkennen und abwehren

Kaspersky lädt in seiner Webinar-Reihe zur einer weiteren Runde ein. Dieses Mal geht es um das Thema „MDR – Angriffe ➡ Weiterlesen

Log4j-Alarm: ESET blockiert hunderttausende Angriffe auf Server

Die Statistiken mit verzeichneten Angriffsversuchen zeigen, dass ESET in Sachen Log4j / Log4Shell bereits hunderttausende Angriffe auf Server blockiert hat. ➡ Weiterlesen

Studie: Ferienzeit ist Hackerzeit – Achtung Ransomware

Cybereason-Studie: Das Risiko, Ransomware-Opfer zu werden, ist für Unternehmen an Wochenenden und in der Urlaubszeit besonders hoch. Längere Reaktionszeiten und ➡ Weiterlesen

Log4j-Alarm: das sagt F-Secure zur Sicherheitslücke

Eine Sicherheitslücke in der Log4J library, die am Freitag, den 10. Dezember, entdeckt wurde, erschüttert Softwarehersteller und Dienstanbieter rund um ➡ Weiterlesen