Flughafenservice, Hafenanlagen, Tanklager – Cyber-Attacken reißen nicht ab

Experten für Cyber-Sicherheit kommentieren jüngste -Attacken auf Kritische Infrastrukturen

[datensicherheit.de, 07.01.2022] Auch in den letzten Tagen rissen die Meldungen über Cyber-Attackene auf Kritische Infrastrukturen (Kritis) in Europa nicht ab – neben Tanklagern in Deutschland offenbar auch Hafenanlagen in Belgien und nicht zuletzt der Flughafenservice Swissport. Zu dieser akuten Bedrohung nehmen nachfolgend drei Experten zum Thema Cyber-Sicherheit von Lookout, Tenable und Vectra AI Stellung:

Foto: Lookout

Hendrik Schless: Zugangsdaten werden häufig durch Phishing-Attacken auf mobile Geräten gestohlen!

Cyber-Attacken häufig auf Ziele mit größtmöglicher Betriebsunterbrechung

„Cyber-Angreifer zielen mit ihren Attacken häufig auf Ziele, an denen sie die größtmögliche Betriebsunterbrechung verursachen können. Auf diese Weise ist das Opfer möglicherweise eher bereit, Lösegeld zu zahlen, um seine Systeme wieder online zu bringen“, kommentiert Hendrik Schless, „Senior Manager of Security Solutions“ beim Sicherheitsanbieter Lookout. Aus diesem Grund seien Kritische Infrastrukturen, Krankenhäuser, Verkehrsknotenpunkte und städtische Stromnetze häufig in den Nachrichten über Ransomware-Attacken zu finden. Angreifer würden immer Wege finden, „um Drucksituationen zu schaffen, die ihnen zugutekommen“.

Ransomware sei keine neue Bedrohung, aber die Taktiken, die Angreifer anwendeten, um in die Unternehmensinfrastruktur einzudringen und Ressourcen zu sperren oder zu stehlen, entwickelten sich schnell weiter. Schless führt aus: „Vor Jahren noch haben Angreifer mittels ,Brute Force‘-Taktik eine kleine Schwachstelle in einem Unternehmen gefunden und diese dann ausgenutzt, um die Infrastruktur zu übernehmen. Heutzutage gibt es für Cyber-Kriminelle viel unauffälligere Wege, um in die Infrastruktur einzudringen. Meistens finden sie heraus, wie sie das Konto eines Mitarbeiters kompromittieren können, um sich mit legitimen Zugangsdaten anzumelden, die keinen Verdacht aufkommen lassen.“

Zugangsdaten würden häufig durch Phishing-Angriffe auf mobilen Geräten gestohlen. Auf Smartphones und Tablets hätten Angreifer unzählige Möglichkeiten, über SMS, Chat-Plattformen von Drittanbietern und Social-Media-Apps „Social Engineering“ zu betreiben. Neben dem Schutz des Endpunkts müssten Unternehmen auch in der Lage sein, den Zugriff und die Aktionen innerhalb von „Cloud“-Lösungen und privaten Anwendungen dynamisch zu sichern. Hierzu kämen als Lösungen „Zero Trust Network Access“ (ZTNA) und „Cloud Access Security Broker“ (CASB) ins Spiel. „Indem sie die Interaktionen zwischen Benutzern, Geräten, Netzwerken und Daten verstehen, können Unternehmen Schlüsselindikatoren für eine Kompromittierung erkennen, die auf Ransomware oder eine massive Datenexfiltration hindeuten. Die gemeinsame Absicherung von mobilen Endgeräten der Mitarbeiter sowie von ,Cloud‘- und privaten Anwendungen hilft Unternehmen, eine solide Sicherheitslage zu schaffen, die auf einer ,Zero Trust‘-Philosophie basiert“, erläutert Schless abschließend.

Vectra AI

Fabian Gentinetta: Obwohl Attacke auf Swissport vor der Verschlüsselung nicht gestoppt wurde, scheint der Schaden erfolgreich begrenzt worden zu sein

Ransomware vorherrschendes Geschäftsmodell bei Gruppen, welche Cyber-Attacken aus Profitgründen durchführen

„Ransomware ist das vorherrschende Geschäftsmodell bei Gruppen, die Cyber-Angriffe aus Profitgründen durchführen. Was wir bei der jüngsten Flut von Angriffen sehen, ist, dass begrenzte Strafverfolgungsmaßnahmen das Problem nicht lösen werden und dies sicherlich nicht über Nacht tun werden“, sagt Fabian Gentinetta vom Cyber-Sicherheitsexperten Vectra AI.

Aber Swissport scheine die Attacke mit minimalem Schaden an seiner Betriebskapazität eingedämmt zu haben, was für die Tatsache spreche, dass Ransomware kein Alles-oder-Nichts-Schachzug sei – „der ,erfolgreiche, aber begrenzte Ransomware-Angriff‘ ist eine Bezeichnung, von der wir hoffen, dass wir mehr sehen werden“.

Das Erkennen und Entfernen von Angreifern aus dem Netzwerk werde in vielen Organisationen zur täglichen operativen Aufgabe. „Obwohl der Angriff vor der Verschlüsselung nicht gestoppt wurde, scheint Swissport ihn schnell eingedämmt und den Schaden erfolgreich begrenzt zu haben. Am wichtigsten, insbesondere für Kritische Infrastrukturen, sind schnelle und funktionierende Backup-Prozesse, wie Swissport eindrucksvoll demonstriert hat“, so Gentinetta.

Foto: Tenable

Bernard Montel ruft Unternehmen auf: Ermitteln Sie die Kritischen Systeme, auf die Sie angewiesen ist, um zu funktionieren!

Schäden in Folge von Ransomware-Attacken auf Unternehmen offensichtlich

Bernard Montel, „EMEA Technical Director and Security Strategist“ bei Tenable, betont: „Wir haben gesehen, welchen Schaden Ransomware-Angriffe anrichten können, wenn Unternehmen nicht mehr arbeiten können, was wiederum Auswirkungen auf die Lieferkette hat und das Leben der Bürger beeinträchtigt.“ Die aktuellen Angriffe auf Oiltanking in Deutschland, SEA-Invest in Belgien und Evos in den Niederlanden sowie Swissport seien besorgniserregend, aber Gespräche über koordinierte Angriffe von Nationalstaaten seien verfrüht. „Das wahrscheinlichste Szenario ist, dass die Angreifer mit einer Datenbank arbeiten, die ähnliche Ziele enthält, und mit ihren Bemühungen ins Schwarze treffen“, so Montel.

Zwar könne es Monate dauern, bis die Einzelheiten eines Angriffs geklärt sind, doch erste Berichte deuteten darauf hin, dass „BlackCat“, wobei es sich vermutlich um eine neue Marke von „BlackMatter“ handele, für die Angriffe auf die Kraftstoffbranche in ganz Europa verantwortlich sein könnte. In einem anderen Fall sei KP Foods diese Woche ebenfalls Opfer von Ransomware geworden, wobei „Conti“ für diese Ausfälle verantwortlich gemacht worden sei. „Was wir über diese beiden Hacker-Gruppen wissen, ist, dass sie ein Ransomware-as-a-Service (RaaS)-Geschäftsmodell betreiben. Das bedeutet, dass es sich um Organisierte Kriminalität mit Opferdatenbanken und zahlreichen Partnern handelt. Diese binden sich nicht an eine bestimmte Ransomware-Gruppe, sondern arbeiten oft mit mehreren Gruppen zusammen und setzen leistungsstarke Bots ein, um die Verbreitung der Malware zu automatisieren.“

Aus der Sicht des Opfers sei es eigentlich irrelevant, wer dafür verantwortlich ist, zumal dies wahrscheinlich erst in einigen Monaten bekannt sein werde. „Die wichtige Frage ist jedoch, wie die Angriffe erfolgten. In den meisten Fällen, wie im Fall von ,BlackMatter‘ und ,Conti‘, ist es eine bekannte Schwachstelle, die es der Malware ermöglicht, in die Infrastruktur einzudringen und Systeme zu verschlüsseln.“ „BlackMatter“ sei dafür bekannt, dass es auf Remote-Desktop-Software abziele und zuvor kompromittierte Zugangsdaten ausnutze, während „Conti“ dafür bekannt sei, bei seinen Angriffen Schwachstellen wie „Zerologon“ (CVE-2020-1472), „PrintNightmare“ (CVE-2021-1675, CVE-2021-34527) und „EternalBlue“ (CVE-2017-0143, CVE-2017-0148) zu nutzen. Ein weiterer Angriffspfad sei die Ausnutzung von Fehlkonfigurationen in „Active Directory“, wobei sowohl „Conti“ als auch „BlackMatter“ dafür bekannt sind, diese Taktik anzuwenden.

Unternehmen müssten beachten, dass grundlegende Sicherheitsprinzipien den Angriffspfad von Ransomware weitestgehend blockieren könnten. Sicherheitsteams müssten Lösungen einsetzen, die angemessene Transparenz, Sicherheit und Kontrolle über die „Cloud“ und die konvergierte Infrastruktur böten. Montel unterstreicht: „Ich rufe Unternehmen auf: Ermitteln Sie die Kritischen Systeme, auf die Sie angewiesen ist, um zu funktionieren. Identifizieren Sie alle Schwachstellen, die diese Systeme betreffen, und ergreifen Sie dann Maßnahmen, um das Risiko entweder zu patchen oder zu beheben. Kümmern Sie sich auch um übermäßige Berechtigungen in ,Active Directory‘, die es Angreifern ermöglichen, ihre Privilegien zu erhöhen und die Infrastruktur weiter zu infiltrieren!“

Schließlich warnt Montel noch eindringlich: „Werden diese grundlegenden Maßnahmen nicht ergriffen, ist das Unternehmen verwundbar und es droht eine Unterbrechung, egal wer angreift!“

Weitere Informationen zum Thema:

tenable, TENABLE BLOG, Claire Tills, 29.10.2021
Examining the Treat Landscape

tenable, TENABLE BLOG, Derek Melber, 28.10.2021
Active Directory is Now in the Ransomware Crosshairs

datensicherheit.de, 02.02.2022
Cyber-Angriff auf Oiltanking legt Shell-Zulieferer lahm / Zunehmend stehen Kritische Infrastrukturen und Lieferketten im Fokus Cyber-Krimineller, warnt auch René Golembewski

datensicherheit.de, 01.02.2022
Tanklager in Deutschland nach Cyber-Angriff lahmgelegt / IT-Security-Experten geben erste Einschätzung zu Angriff auf Oiltanking