Aktuelles, Branche - geschrieben von dp am Mittwoch, Mai 12, 2021 21:14 - noch keine Kommentare
Ransomware-Angriff auf Colonial Pipeline nur Teil einer neuen Welle
Betreiber einer der größten Treibstoff-Pipelines der USA musste Betrieb nach Attacke mit DarkSide-Ransomware vorübergehend einstellen
[datensicherheit.de, 12.05.2021] Ransomware habe sich im Laufe der Zeit immer wieder verändert – wie sehr, zeige der Ransomware-Angriff auf Colonial Pipeline, der nur Teil einer neuen Welle von Attacken gegen hochrangige Opfer sei. Nach diesem Cyber-Angriff auf eine der größten Treibstoff-Pipelines der USA sei deren Betrieb vorübergehend eingestellt worden. Die böswilligen Akteure seien auf möglichst hohe Erpressungssummen aus und zielten daher auf Organisationen, „die eher bereit sind zu zahlen, wenn sie deren Geschäftsbetrieb stören“. Dies habe sich bereits früher bei Opfern aus dem Regierungs- und Bildungsbereich beobachten lassen – je mehr Leid die Kriminellen einer Organisation zufügen können, „desto wahrscheinlicher ist es, dass das Opfer zahlt“. Jon Clay, „Director Global Threat Communications“ bei Trend Micro, geht in seinem Kommentar auf die Frage ein, was Unternehmen angesichts der Bedrohung tun tun können.
Entwicklung der Ransomware-Angriffe hat Phase 4 erreicht
„Ransomware-Angriffe haben viele Stationen durchlaufen und wir beobachten jetzt Phase 4“, erläutert Clay:
- Phase: Einfache Ransomware
Dateien würden verschlüsselt, dann die Lösegeldforderung abgegeben und schließlich auf die Zahlung in Bitcoin gewartet. - Phase: Doppelte Erpressung
Phase 1 zzgl. Datenexfiltrierung und Drohung mit der Veröffentlichung. „Maze“ sei die erste Erpressungssoftware dieser Art gewesen und die anderen Hacker-Gruppen folgten diesem Beispiel. - Phase: Dreifache Erpressung.
Phase 1 und Phase 2 sowie Drohung mit DDoS. „Avaddon“ sei der erste dokumentierte Fall geweseb. - Phase: Vierfache Erpressung
Phase 1 und möglicherweise Phase 2 oder Phase 3 sowie direktes Mailing an den Kundenstamm des Opfers. „Cl0p“ sei zum ersten Mal auf diese Weise eingesetzt worden, so Brian Krebs in seinem Blog „KrebsonSecurity“ am 5. April 2021.
Doppelte Erpressung mittels neuester Ransomware-Angriffe
Meistens handele es sich heute um Doppelte Erpressung, so Clay, „doch sehen wir einen Wechsel hin zum Anvisieren von kritischen Geschäftssystemen“. In diesem jüngsten US-Fall scheinen keine OT-Systeme betroffen zu sein, berichtet Clay, doch seien wahrscheinlich die mit dem Netzwerk verbundenen IT-Systeme das Ziel gewesen.
Das könnte sich jedoch ändern, da viele Organisationen ein OT-Netzwerk hätten, welches für ihren Betrieb „kritisch“ sei und daher zum Ziel werden könnte. „Wir haben bereits dargestellt, wie Fertigungsunternehmen mit moderner Ransomware angegriffen werden und welche Auswirkungen dies hat.“
Konsequenzen des aktuellen Ransomware-Angriffs auf Colonial-Pipeline
Der Ausfall von Systemen, die den täglichen Geschäftsbetrieb eines Unternehmens steuern, könne finanzielle und Reputationsschäden verursachen. „Aber ein Angriff könnte auch unbeabsichtigte Folgen haben, wenn man sich zu prominente Opfer sucht, und der Colonial-Pipeline-Angriff könnte ein Beispiel dafür sein.“
Denn die Zerstörung eines wichtigen Teils der Kritischen Infrastruktur einer Nation, selbst wenn das Motiv „nur“ finanzieller Gewinn ist, könnte zu schwerwiegenden Maßnahmen gegen die Akteure hinter diesem Angriff führen. In Zukunft müssten böswillige Akteure also möglicherweise die potenziellen Auswirkungen des Angriffs auf ihr Ziel abschätzen und entscheiden, „ob es geschäftlich sinnvoll ist, mit einem Angriff zu beginnen“.
Neuen auf Ransomware-Angriffe ausgerichteten Incident-Response-Plan erstellen
Ransomware werde auch in Zukunft zum Einsatz kommen. Daher müssten sich Unternehmen die Zeit nehmen, einen auf das neue Modell von Ransomware-Angriffen ausgerichteten Incident-Response-Plan zu erstellen. Folgendes sollte dabei überlegt werden:
- Akzeptanz der Bedrohung
„Akzeptieren Sie, dass Ihr Unternehmen zum Opfer werden kann!“ Jede Organisation könne unter Umständen auf dem Radar von böswilligen Akteuren sein, aber diejenigen, die in Kritischen Infrastrukturen tätig sind, müssten jetzt die Wahrscheinlichkeit abschätzen, angegriffen zu werden. - Access-as-a-Service
Access-as-a-Service werde jetzt regelmäßig verwendet. Dabei führe in der Regel eine andere Gruppe den ersten Zugriff durch und verkaufe ihn an eine andere Gruppe. „Zielstrebige Angreifer werden immer einen Weg in Ihr Netzwerk finden, sei es über Phishing, ein anfälliges System, das für das Internet zugänglich ist, oder einen Angriff über die ,Supply Chain‘.“ - Einsatz legitimer Tools
Der böswillige Einsatz legitimer Tools gehöre zu den beliebtesten Taktiken über den Angriffszyklus hinweg. - Account-Zugangsdaten im Visier
„Anvisiert werden die Account-Zugangsdaten Ihrer wichtigen Administratoren und Anwendungen.“ - Zugriff auf für Doppelte Erpressung geeignete Daten
„Ransomware-Akteure versuchen Daten abzuziehen, die für eine Doppelte Erpressung geeignet scheinen.“ - Ransomware-Komponente zum schlechten Schluss
Die Ransomware-Komponente werde die letzte Option in den böswilligen Aktivitäten darstellen, denn sie sei der sichtbarste Teil eines Angriffszyklus und zeige dem Opfer, „dass ein System kompromittiert wurde“.
Tipps für Unternehmen mit OT-Netzwerken zur Ransomware-Abwehr
Laut Clay sollten Unternehmen, welche OT-Netzwerke betreiben, über folgende Punkte nachdenken:
- „Erfassen Sie die Risiken für den Fall, dass Ihr OT-Netzwerk abgeschaltet wird!“
- „Setzen Sie ein Sicherheitsmodell für die Geräte im OT-Netzwerk auf, vor allem für diejenigen, die keinen Sicherheitsagenten unterstützen!“
- „Netzwerksegmentierung ist von kritischer Bedeutung!“
- „Muss Ihr OT-Netzwerk aufgrund einer Kompromittierung des IT-Netzwerks abgeschaltet werden, sollten Sie überlegen, wie Sie diese Einschränkung überwinden können!“
Aktuelle Ransomware-Attacke ein weiterer Weckruf für alle Organisationen
Dieser jüngste Angriff sei ein weiterer Weckruf für alle Organisationen, ihre Netzwerke gegen Angriffe zu härten und ihre Wahrnehmung zu verbessern, wenn sich bösartige Akteure in ihrem Netzwerk befinden.
„Wir verfügen mit ,Trend Micro Vision One‘ über eine mehrschichtige Cyber-Sicherheitsplattform, die dabei helfen kann, die Erkennung und Reaktion auf die neuesten Ransomware-Angriffe zu verbessern und die Sichtbarkeit zu erhöhen“, betont Clay.
Weitere Informationen zum Thema:
blog.trendmicro.de, Janus Agcaoili & Earle Earnshaw
Legitime Tools werden in Ransomware-Kampagnen missbraucht
blog.trendmicro.de, Ryan Flores
Schäden in Fertigungsnetzwerken durch moderne Ransomware
KrebsonSecurity, 05.04.2021
Ransom Gangs Emailing Victim Customers for Leverage
blog.trendmicro.de, Jon Clay (Director, Global Threat Communications)
Der neuen Welle der Ransomware-Angriffe Widerstand leisten
datensicherheit.de, 12.05.2021
DarkSide: RaaS-Attacke gegen Colonial Pipeline / Junge Ransomware-Familie DarkSide erstmals im August 2020 aufgetreten
datensicherheit.de, 12.05.2021
Lehren aus dem Ransomware-Angriff auf Colonial Pipeline für Kritis-Betreiber / Edgard Capdevielle erläutert in seiner Stellungnahme, wie sich Kritis-Betreiber absichern können
datensicherheit.de, 11.05.2021
Ransomware-Angriff: Kraftstoffversorgung über Colonial Pipeline unterbrochen / FBI bestätigt Attacke auf Colonial Pipeline durch Hacker-Gruppe DarkSide
datensicherheit.de, 10.05.2021
Colonial Pipeline: Massiver Ransomware-Angriff auf Betreiber / Tenable kommentiert Folgen für die Betriebstechnik durch IT-Ausfall nach Ransomware-Befall
Aktuelles, Experten - Okt 11, 2024 19:58 - noch keine Kommentare
Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung
weitere Beiträge in Experten
- BigBrotherAwards 2024 an Deutsche Bahn, Karl Lauterbach, Sachsens Innenminister, Shein und Temu sowie Technikpaternalismus
- Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
Aktuelles, Branche - Okt 10, 2024 19:38 - noch keine Kommentare
Open Source Software – unbestreitbare Vorteile sowie Risiken
weitere Beiträge in Branche
- Kritische Sicherheitslücken im Linux-CUPS-System erfordern umgehende Maßnahmen
- SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie
- Präsidentschaftswahlen in den USA 2024: Wahl-Phishing auf dem Vormarsch
- Zunehmende Bedrohung in der digitalen Welt durch Deepfake-Angriffe
- Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren