„Industrielle Steuerungssysteme sind unglaublich schwer abzusichern. Dies führt zu zahlreichen Sicherheitslücken, die Cyberkriminelle immer gezielter ausnutzen“, sagt Udo Schneider, IoT Security Evangelist Europe bei Trend Micro. „Angesichts der Tatsache, dass die US-Regierung Ransomware-Angriffe nun mit der gleichen Schwere wie Terrorismus behandelt, hoffen wir, dass unsere neuesten Studienergebnisse Betreiber von Industrieanlagen dabei unterstützen, ihre Sicherheitsanstrengungen zu priorisieren und neu auszurichten.“
Als wesentlicher Bestandteil von Energieversorgungs- und Fertigungsanlagen sowie anderen industriellen Betrieben werden industrielle Steuerungssysteme (Industrial Control Systems, ICS) zur Überwachung und Steuerung industrieller Prozesse über IT-OT-Netzwerke hinweg eingesetzt.
Wenn Ransomware ihren Weg in diese Systeme findet, kann sie den Betrieb für Tage lahmlegen und das Risiko erhöhen, dass Entwürfe, Programme und andere sensible Dokumente ihren Weg ins Dark Web finden.
Der Bericht von Trend Micro zeigt, dass Varianten der Malware-Familien Ryuk (20 Prozent), Nefilim (14,6 Prozent), Sodinokibi (13,5 Prozent) und LockBit (10,4 Prozent) für mehr als die Hälfte der ICS-Ransomware-Infektionen im Jahr 2020 verantwortlich sind.
Die Studie beinhaltet darüber hinaus weitere Erkenntnisse:
- Bedrohungsakteure infizieren ICS-Endpunkte, um mit ungepatchten Betriebssystemen, die noch für EternalBlue anfällig sind, Kryptowährung zu schürfen.
- Varianten von Conficker verbreiten sich auf ICS-Endpunkten mit neueren Betriebssystemen durch Brute-Forcing von Admin-Freigaben.
- Legacy-Malware wie Autorun, Gamarue und Palevo sind in IT/OT-Netzwerken immer noch überall im Umlauf und verbreiten sich über Wechsellaufwerke.
Die Studie fordert IT-Sicherheits- und OT-Teams zu einer engeren Zusammenarbeit auf, um wichtige Systeme und Abhängigkeiten wie Betriebssystemkompatibilität und Laufzeitanforderungen zu identifizieren und so effektivere Sicherheitsstrategien zu entwickeln.
Trend Micro gibt darüber hinaus folgende Empfehlungen:
- Ein unmittelbares Patchen von Schwachstellen ist unerlässlich. Ist dies nicht möglich, sollten Unternehmen eine Netzwerksegmentierung oder virtuelles Patching in Betracht ziehen.
- Unternehmen können Ransomware nach dem Eindringen bekämpfen, indem sie die Ursachen der Infektion mithilfe von Software zur Anwendungskontrolle und Tools zur Threat Detection und Response eindämmen, um auf diese Weise Netzwerke nach IoCs (Indicator of Compromise) zu durchsuchen.
- Netzwerkfreigaben sollten eingeschränkt und starke Benutzername/Kennwort-Kombinationen erzwungen werden, um unbefugten Zugriff durch Brute-Forcing von Anmeldeinformationen zu verhindern.
- IDS (Intrusion-Detection-Systeme) oder IPS (Intrusion-Prevention-Systeme) können das normale Netzwerkverhalten erfassen und verdächtige Aktivitäten frühzeitig erkennen.
- Unternehmen sollten ICS-Endpunkte auch in vermeintlichen Air-Gap-Umgebungen regelmäßig mit Standalone-Tools scannen.
- Mit USB-Malware-Scanner können Wechsellaufwerke überprüft werden, die für den Datentransfer zwischen Air-Gapped-Endpunkten verwendet werden.
- Unternehmen sollten das Prinzip der geringsten Rechte auf OT-Netzwerkadministratoren und -betreiber anwenden.
Den vollständigen Bericht „2020 Report on Threats Affecting ICS Endpoints“ können Sie hier in englischer Sprache einsehen.
Über Trend Micro
Trend Micro, einer der weltweit führenden Anbieter von Cybersicherheit, hilft dabei, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Basierend auf jahrzehntelanger Sicherheitsexpertise, globaler Bedrohungsforschung und beständigen Innovationen schützt unsere Cybersecurity-Plattform hunderttausende Unternehmen und Millionen von Menschen über Clouds, Netzwerke, Geräte und Endpunkte hinweg.
Mit 7.000 Mitarbeitern in 65 Ländern und der weltweit fortschrittlichsten Erforschung und Auswertung globaler Cyberbedrohungen ermöglicht Trend Micro Unternehmen, ihre vernetzte Welt zu vereinfachen und zu schützen.