Ransomware hat sich im Laufe der Zeit immer wieder verändert. Wie sehr zeigt der Colonial Pipeline Ransomware-Angriff, der nur Teil einer neuen Welle von Attacken gegen hochrangige Opfer ist. Ein Kommentar von Jon Clay, Director Global Threat Communications, Trend Micro.
Nach dem Cyberangriff auf eine der größten Benzin-Pipelines der USA war deren Betrieb vorübergehend eingestellt worden. Die böswilligen Akteure sind auf möglichst hohe Erpressungssummen aus und zielen daher auf Organisationen, die eher bereit sind zu zahlen, wenn sie deren Geschäftsbetrieb stören. Dies ließ sich bereits früher bei Opfern aus dem Regierungs- und Bildungsbereich beobachten. Je mehr Leid die Kriminellen einer Organisation zufügen können, desto wahrscheinlicher ist es, dass das Opfer zahlt. Was können Unternehmen tun?
Ransomware-Angriffe haben viele Stationen durchlaufen und wir beobachten jetzt Phase 4:
1. Phase: Einfach Ransomware, Dateien werden verschlüsselt und dann die Lösegeldforderung abgegeben … und dann auf die Zahlung in Bitcoin warten.
2. Phase: Doppelte Erpressung. Phase 1 + Datenexfiltrierung und Drohung mit der Veröffentlichung. Maze war die erste Erpressungssoftware, das dies tat, und die anderen Akteursgruppen folgten dem Beispiel.
3. Phase: Dreifache Erpressung. Phase 1 + Phase 2 und Drohung mit DDoS. Avaddon war der erste dokumentierte Fall.
4. Phase: Vierfache Erpressung. Phase 1 + (möglicherweise Phase 2 oder Phase 3) + direktes Mailing an den Kundenstamm des Opfers. Cl0p wurde zum ersten Mal auf diese Weise eingesetzt, beschrieb Brian Krebs.
Meistens handelt es sich heute um doppelte Erpressung, doch sehen wir einen Wechsel hin zum Anvisieren von kritischen Geschäftssystemen. In diesem jüngsten US-Fall scheinen keine OT-Systeme betroffen zu sein, doch waren wahrscheinlich die mit dem Netzwerk verbundenen IT-Systeme das Ziel. Das könnte sich jedoch ändern, da viele Organisationen ein OT-Netzwerk haben, das für ihren Betrieb kritisch ist und daher zum Ziel werden könnte. Wir haben bereits dargestellt, wie Fertigungsunternehmen mit moderner Ransomware angegriffen werden und welche Auswirkungen dies hat.
Konsequenzen für Unternehmen
Der Ausfall von Systemen, die den täglichen Geschäftsbetrieb eines Unternehmens steuern, kann finanzielle und Reputationsschäden verursachen. Aber ein Angriff könnte auch unbeabsichtigte Folgen haben, wenn man sich zu prominente Opfer sucht, und der Colonial Pipeline-Angriff könnte ein Beispiel dafür sein. Die Zerstörung eines wichtigen Teils der kritischen Infrastruktur einer Nation, selbst wenn das Motiv „nur“ finanzieller Gewinn ist, könnte zu schwerwiegenden Maßnahmen gegen die Akteure hinter diesem Angriff führen. In Zukunft müssen böswillige Akteure also möglicherweise die potenziellen Auswirkungen des Angriffs auf ihr Ziel abschätzen und entscheiden, ob es geschäftlich sinnvoll ist, mit einem Angriff zu beginnen.
Die passenden Gegenmaßnahmen
Ransomware wird auch in Zukunft zum Einsatz kommen. Daher müssen sich Unternehmen die Zeit nehmen, einen Incident-Response-Plan zu erstellen, der auf das neue Modell von Ransomware-Angriffen ausgerichtet ist. Einige Dinge sollten dabei überlegt werden:
- Akzeptieren Sie, dass Ihr Unternehmen zum Opfer werden kann. Jede Organisation kann unter Umständen auf dem Radar von böswilligen Akteuren sein, aber diejenigen, die in kritischen Infrastrukturen tätig sind, müssen jetzt die Wahrscheinlichkeit abschätzen, angegriffen zu werden.
- Access-as-a-Service wird jetzt regelmäßig verwendet. Dabei führt in der Regel eine andere Gruppe den ersten Zugriff durch und verkauft ihn an eine andere Gruppe. Zielstrebige Angreifer werden immer einen Weg in Ihr Netzwerk finden, sei es über Phishing, ein anfälliges System, das für das Internet zugänglich ist, oder einen Angriff über die Supply Chain.
- Der böswillige Einsatz von legitimen Tools gehört zu den beliebtesten Taktiken über den Angriffszyklus hinweg.
- Anvisiert werden die Account-Zugangsdaten Ihrer wichtigen Administratoren und Anwendungen.
- Ransomware-Akteure versuchen Daten abzuziehen, die für eine doppelte Erpressung geeignet scheinen.
- Die Ransomware-Komponente wird die letzte Option in den böswilligen Aktivitäten darstellen, denn sie ist der sichtbarste Teil eines Angriffszyklus und zeigt dem Opfer, dass ein System kompromittiert wurde.
Unternehmen, die OT-Netzwerke betreiben, sollten über folgende Punkte nachdenken:
- Erfassen Sie die Risiken für den Fall, dass Ihr OT-Netzwerk abgeschaltet wird.
- Setzen Sie ein Sicherheitsmodell für die Geräte im OT-Netzwerk auf, vor allem für diejenigen, die keinen Sicherheitsagenten unterstützen.
- Netzwerksegmentierung ist von kritischer Bedeutung.
- Muss Ihr OT-Netzwerk aufgrund einer Kompromittierung des IT-Netzwerks abgeschaltet werden, sollten Sie überlegen, wie Sie diese Einschränkung überwinden können.
Dieser jüngste Angriff ist ein weiterer Weckruf für alle Organisationen, ihre Netzwerke gegen Angriffe zu härten und ihre Wahrnehmung zu verbessern, wenn sich bösartige Akteure in ihrem Netzwerk befinden. Wir verfügen mit Trend Micro Vision One über eine mehrschichtige Cybersicherheitsplattform, die dabei helfen kann, die Erkennung und Reaktion auf die neuesten Ransomware-Angriffe zu verbessern und die Sichtbarkeit zu erhöhen.