Wer als Unternehmen von einer Ransomware-Attacke betroffen ist, der sollte davon ausgehen, dass kompromittierte Dateien veröffentlicht werden. Die in diesen Dateien enthalten Informationen tauchen mit ziemlicher Sicherheit irgendwo und irgendwann wieder auf. Ein aktuelles Beispiel hierfür ist die Webseite „Doppel Leaks“.
In einem „Testmodus“ wurde versucht, Unternehmen bloßzustellen, die Opfer des DoppelPaymer Ransomware-Angriffs geworden waren, aber kein Lösegeld gezahlt hatten. Als Beweis sollten die gestohlenen Dateien veröffentlicht werden. Es handelt sich bei Doppel Leaks zwar um die erste Website, die sich ausdrücklich dem „Public Shaming“, also dem öffentlichen Bloßstellen von Opfern im Internet, verschrieben hat, es ist aber nicht die erste Ransomware, die den Shaming-Ansatz nutzt.
Einige Theorien besagen, dass Ransomware-Angriffe lediglich dazu dienen, die Spuren weitreichenderer Operationen, wie zum Beispiel einen Angriff auf die Lieferkette oder Finanzbetrug, zu tarnen. Das letztendliche Ziel ist es aber, Daten zu verschlüsseln und Lösegeld für die Freigabe der Dateien zu erpressen. Die meisten Industriebetriebe und -anlagen verfügen allerdings nur über eine begrenzte Zahl “sensibler” Daten, die für ihre Gegner tatsächlich von Wert wären.
Mit Public Shaming haben die Angreifer ein zusätzliches Druckmittel in der Hand, um die Opfer zur Zahlung zu zwingen. Derartige Methoden können sich als sehr wirksam erweisen. Denn hier geht es nicht um die Art der Daten oder darum, wie sensibel die Informationen sind. Es geht um die Macht, diese Daten zu besitzen und jederzeit offenlegen zu können. Ob die Daten aus der betrieblichen Umgebung einer Industrieanlage stammen oder aus der Zentrale des Unternehmens ist dabei weitgehend unerheblich. Es geht primär darum die Opfer unter Druck zu setzen und nicht um einen direkten Hack oder Betrug. Die Daten dienen vielmehr als Beweis, dass jemand gehackt wurde und offensichtlich verwundbar ist.
IT- versus OT-Paradigma
Diese Art von Angriffen konzentriert sich in erster Linie auf die Dateiverschlüsselung und nicht auf den potenziellen Schaden, wenn Systeme heruntergefahren oder stillgelegt werden, die mit Geräten in der realen Welt verbunden sind. Tatsächlich sind sich die Angreifer oft nicht bewusst, dass sie sich in einer ICS-Umgebung befinden. Alles, was sie wissen oder worum es ihnen geht, ist das Herunterfahren von OT-/IoT-Systemen. Für die Fahrgäste eines Zuges, der dadurch zum Entgleisen gebracht wird oder für die Anwohner in der Nähe einer brennenden Chemiefabrik können die Folgen hingegen katastrophal sein. Um an Geld zu kommen, agieren die meisten Angreifer einigermaßen skrupellos. Und sie nehmen billigend in Kauf, das Leben anderer Menschen zu gefährden.
Das bestehende Paradigma führt dazu, dass Firmen die Budgets zum Schutz sensibler IT-Daten nach oben schrauben und OT-Umgebungen aus der Finanzplanung ausschließen. Es wird also viel Geld in den Datenschutz investiert, gemessen daran, wie sensibel diese Daten sind. Kriterien sind
Vertraulichkeit, Integrität und Verfügbarkeit (die klassische C-I-A-Triade), aber nicht unbedingt die Sicherheit. Der Ansatz übersieht zudem, dass sich im Kontext von Datei-Leaks und Public Shaming der Grad der Sensibilität schnell ändern kann. Hier brauchen Firmen ganz offensichtlich ein Umdenken.
Die ICS-Umgebung sollte für den Schutz einer Marke und den Ruf eines Unternehmens als ebenso wichtig erachtet werden wie “sensible” Daten, die auf einer “höheren Ebene” angesiedelt sind. Gegenwärtig geben Unternehmen allerdings bis zu 100 Mal mehr aus, um letztere zu schützen.
Je früher Unternehmen begreifen, dass Angreifer bereit sind, den C-Level oder eine Anlage ins Visier zu nehmen, um an Daten zu gelangen, die sich für Erpressung und Public Shaming eignen, desto besser für die generelle Sicherheitslage und die betriebliche Kontinuität.
Auf dem Weg zur IT-/OT-Konvergenz
Große IT-Unternehmen und alle, die einige Zeit in einem SOC gearbeitet haben, werden bestätigen, dass es immer einen offenen Sicherheitsvorfall gibt. Irgendwo, irgendwie, werden ständig Systeme bereinigt oder forensisch analysiert. Es geht nicht mehr darum, einen Hackerangriff zu verhindern, sondern darum, Cyber-Resilienz zu gewährleisten: als konstanten Zustand einer effektiven Wiederherstellung. Wenn man diese Perspektive einnimmt, kann man einen Strategiewechsel einleiten, der ein verändertes Sicherheitsbewusstsein widerspiegelt.
Anstatt weiterhin davon auszugehen, dass Perimetersicherheit ausreichend ist, sollten Unternehmen in Technologien investieren, die helfen, Fragen wie diese zu beantworten:
- Welche Tools brauchen wir für eine forensische Untersuchung?
- Wie hat die Umgebung vor dem Angriff ausgesehen?
- Wo hat der Angriff begonnen?
- Wie weit hat sich der Angreifer bereits im Netzwerk voran gearbeitet (lateral movement)?
- Welche Systeme sind betroffen?
- An welcher Stelle im Netzwerk könnten sich die Angreifer versteckt halten?
- Wurden andere Angriffe oder Methoden eingesetzt, die zusätzliche Indikatoren für eine Kompromittierung sein könnten?
- Was können wir tun, um das potenzielle Ziel zu schützen?
(Und – am wichtigsten):
- Hat der Angriff einen Prozess beeinträchtigt oder ist ein Prozess gefährdet?
Ransomware als solche trifft keine Unterscheidung. Sie operiert in IT-, IoT- und ICS-Umgebungen gleichermaßen. Man ist also auf Tools angewiesen, die über das gesamte Technologiespektrum hinweg funktionieren, um Angriffe und Ransomware auch in heterogenen Umgebungen zu erkennen und nachzuverfolgen. Darüber hinaus tragen Betreiber von ICS-Systemen die zusätzliche Verantwortung, die realen Auswirkungen eines Ransomware-Angriffs zu berücksichtigen. Sie sind gezwungen, sehr schnell sicherzustellen, dass OT-Systeme während eines Vorfalls intakt bleiben. Im Idealfall sind entsprechende Tools bereits implementiert, bevor es zu einem Zwischenfall kommt.
Das reduziert die Zeit für die Wiederherstellung, den Aufwand und die Kosten. Und es minimiert den Radius der möglichen Zerstörung und verhindert das Abfließen von Daten.
Fazit
Hacker haben ihre taktische Reichweite ein weiteres Mal vergrößert. Damit ist es ihnen unter anderem gelungen, ansonsten vergleichsweise harmlosen Daten auf Anlagenebene (wie oben beschrieben) deutlich mehr Relevanz zu geben. Aus IT-Sicht ist die Bedrohung durch Ransomware größer denn je, und aus OT-Sicht ist sie zu einem deutlich höheren Risiko geworden als in den Zeiten von Stuxnet. Noch vor drei Jahren war Informationen zu den häufigsten OT-Cyberangriffen für die meisten Anlagentechniker brandneu. Heute lähmt Ransomware ganze Städte und sorgt täglich für Schlagzeilen. Betreiber sollten den Kopf nicht weiterhin in den Sand stecken, denn Angreifer werden nicht zögern, Ignoranz für sich auszunutzen.
Chris Grove, Product Evangelist bei Nozomi Networks, www.nozominetworks.com