Cyberbedrohungen
Schäden in Fertigungsnetzwerken
Ransomware-Bedrohungen haben die Fertigungsindustrie im Jahr 2020 erheblich beeinträchtigt. Diese Angriffe führten zu hohen Produktionsverlusten und unterbrachen Betriebsabläufe.
Originalbeitrag von Ryan Flores
Ransomware-Bedrohungen haben die Fertigungsindustrie im Jahr 2020 erheblich beeinträchtigt. Diese Angriffe führten zu hohen Produktionsverlusten und unterbrachen Betriebsabläufe. Im dritten Quartal schienen die Angreifer bei ihren Ransomware-Attacken Unternehmen der Fertigungsindustrie besonders häufig ins Visier zu nehmen.
Die Daten aus Trend Micro™ Smart Protection Network™ zeigen, wie sich die Ransomware-Bedrohung auf verschiedene Branchen ausgewirkt hat.
Fertigungsanlagen verwenden große Maschinen — Fließbänder, Öfen, Motoren und dergleichen –, und der Technologiefortschritt sowie der Trend zu Industry 4.0 haben auch die Einführung von Computern in die Produktions- und Betriebsanlagen begünstigt. Die Industriemaschinen werden von Computern gesteuert oder überwacht, und diese sind ihrerseits mit anderen Computern und Netzwerken verbunden, um Daten weiterzuleiten.
Auf Ebene 0 befinden sich die großen Teile der Hardware. Um diese Maschinen zu steuern und zu überwachen, sind die Computer auf Ebene 2 notwendig. Die Computer für die Mensch-Maschine-Schnittstelle (HMI) und für die übergeordnete Steuerung und Datenerfassung (SCADA) ermöglichen den Bedienern die Übersicht und Kontrolle über die Industriemaschinen, während die Engineering-Arbeitsstation die Entwürfe, Konstruktionsunterlagen, Robotercodes, Programme und Konfigurationen enthält, die für die Erstellung des Endprodukts erforderlich sind.
Auf Ebene 3 gibt es häufig einen zentraler Dateiserver mit den Konstruktionsdateien und Produktdokumenten für den gemeinsamen Zugriff zwischen Engineering-Arbeitsplätzen sowie eine historische Datenbank, die Geräte, Leistungskennzahlen und Produktqualität vorhält. Was passiert aber, wenn ein Ransomware-Angriff in der Lage ist, in die Computer der Ebenen 2 und 3 einzudringen?
Verlust der Einsicht und Kontrolle
Moderne Ransomware ist nicht darauf ausgelegt, infizierte Computer herunterzufahren oder lahm zu legen. Die letzte Ransomware, die infizierte Computer effektiv stilllegte, war die 2017 und 2018 aktive Petya. Die Ransomware-Familien, die danach kamen, waren vorsichtiger bei der Dateiverschlüsselung und schlossen Systemdateien und ausführbare Dateien gezielt aus, da diese vom Computer zum Booten und Betrieb benötigt werden. Alles andere ist verschlüsselt. Das bedeutet, dass es keine abrupte Abschaltung in der Fabrikhalle gäbe, wenn die Ransomware auf einen der Steuer- und Überwachungscomputer im Operational Technology (OT)-Netzwerk trifft.
Als grafische Schnittstelle sind HMIs extrem abhängig von Bilddateien. Jeder in der HMI dargestellte Knopf, jeder Wert, jedes Logo, jede Leitung und jedes Ausrüstungsteil haben eine entsprechende Bilddatei irgendwo im Verzeichnis der HMI-Software. Darüber hinaus werden Konfigurationen, die Werte, Zuordnungen, Logik, Schwellenwerte und Lexika enthalten, in Textdateien zusammen mit den Bilddateien gespeichert. Bei einem Ransomware-Angriff auf eine HMI stellten die Sicherheitsforscher fest, dass 88% der verschlüsselten Dateien JPEG-, BMP- oder GIF-Dateien waren — die Bilder, die von der HMI zum Rendern der Schnittstelle verwendet wurden. Wären all diese Dateien verschlüsselt, würde die Wiederherstellung der betroffenen Systeme nicht nur eine Neuinstallation der ICS-Software erforderlich machen, zusätzlich müsste auch die benutzerdefinierte HMI- oder SCADA-Schnittstelle wiederhergestellt werden.
Ransomware muss nicht direkt auf die Prozesse der ICS-Software abzielen, um das ICS außer Gefecht zu setzen. Durch die Verschlüsselung der Dateien, von denen die HMI, SCADA oder Engineering Workstation (EWS) abhängt, kann Schadsoftware das System unbrauchbar machen. Die Folge wäre der Einsichts- und Kontrollverlust für den Bediener und letztlich ein Produktivitäts- und Umsatzverlust für die Fabrik.
Diebstahl von Betriebsinformationen
Netzwerk-Dateifreigaben (Network File Sharing, NFS) sind in Fertigungsumgebungen praktisch eine Notwendigkeit. Auf der betrieblichen Seite nutzen Ingenieure und Konstrukteure sie nicht nur als Mittel zum Austausch von Konstruktions- und Entwicklungsdokumenten, an denen sie arbeiten, sondern auch als Repository für Referenzdateien, Richtlinien, Stücklisten, Werkzeuge und Arbeitsabläufe.
Auf der geschäftlichen Seite setzen Manager und Mitarbeiter auf Netzwerkfreigaben, um Informationen über Verkäufer, Lieferanten, Bestellungen, Rechnungen und Ähnliches zu speichern. Ein dediziertes Lieferketten-Management (SCM)- und/oder Produktlebenszyklus-Management (PLM)-System und die damit verbundenen Datenbanken sind sogar auf Ebene 4 oder 5 zu finden.
Obwohl ein Ransomware-Angriff, der diese Dateispeicher und Datenbanken betrifft, nicht notwendigerweise die Produktionslinie unterbrechen würde, beeinträchtigt dennoch den Geschäftsbetrieb, das Lieferkettenmanagement sowie die Produktentwicklung und das Produktdesign. Dies sind jedoch nur die kurzfristigen Folgen. Moderne Ransomware-Operationen beinhalten auch Datendiebstahl, der dauerhafte Schäden hinterlässt.
Seit der Maze-Ransomware ist es fast schon Standardpraktik der Hintermänner, mithilfe handelsüblicher Dateisicherungswerkzeuge Daten von ihren Opfern zu stehlen. Ursprünglich sollte damit der Druck auf das Opfer erhöht werden, da das Datenleck eine zusätzliche Erpressungsdrohung ermöglicht. Es werden jedoch auch Daten von Ransomware-Opfern im Untergrund verkauft. Dies ist besonders unerfreulich für Unternehmen, da Design- und Konstruktionsdokumente häufig geistiges Eigentum enthalten. Darüber hinaus könnten Informationen über Lieferanten und Zulieferer vertrauliche Lieferkettendaten wie Preis- und Bestellinformationen umfassen.
Fertigungsunternehmen sollten diese Möglichkeiten in Betracht ziehen, falls sie mit einem Ransomware-Vorfall konfrontiert werden. Sobald der Produktions- und Geschäftsbetrieb wiederhergestellt ist, muss eine Bewertung der gestohlenen Daten vorgenommen werden. Danach sollten sie sich die schmerzhafte Frage stellen: Wenn die Daten bekannt oder verkauft werden, welche Auswirkungen hätte dies auf die Produktion, die Geschäftsbeziehungen und die Kunden? Die Antworten darauf müssen die nachfolgenden Aktionen bestimmen und so eine effektivere Reaktionsstrategie ermöglichen.
Post-Intrusion Ransomware
Im Laufe der Jahre gab es einen erheblichen Rückgang von Ransomware-Zwischenfällen, die als E-Mail-Anhänge kamen oder über bösartige Websites installiert wurden. Glaubt man den Schlagzeilen, so sieht es aus, als hätte die Verbreitung von Ransomware überhaupt nicht abgenommen.
Dieser Eindruck liegt daran, dass die Ransomware-Akteure in den letzten Jahren bei der Wahl ihrer Ziele selektiver geworden sind. Sie kommen von den en masse verbreiteten Spam-Kampagnen mit Ransomware ab und wählen einen restriktiveren Ansatz, der als „Großwildjagd“ bezeichnet werden kann. Es geht ihnen nicht mehr um Haushalts-Desktops („Kleinwild“), sondern eher um mittlere bis große Unternehmen („Großwild“). Der Grund für diese Interessensverschiebung liegt darin, dass sie hier höhere Profite pro Ansteckung erwarten.
Die Großwildjagd ist komplizierter und erfordert mehr Zeit zum Beobachten, Aufspüren und Anpirschen an die Beute. Aus diesem Grund werden die meisten Ransomware-Familien, die große Industriezweige (wie die verarbeitende Industrie) angreifen, als „Post-Intrusion Ransomware“ bezeichnet. Die Angreifer verschaffen sich bereits vor der Installation der Ransomware auf anderem Wege Zugang zum Netzwerk.
Die meisten verschiedenen Ransomware-Familien, die im 3. Quartal 2020 die Fertigungsindustrie anvisierten, gehören zur Post-Intrusion-Ransomware. Sodinokibi, die Ransomware, die für die meisten Produktionsnetzwerke im 3. Quartal verantwortlich war, wird installiert, nachdem Angreifer Zugang zu anfälligen Oracle WebLogic-Servern erlangt haben. Gandcrab wird normalerweise installiert, nachdem Angreifer anfällige öffentlich zugängliche MySQL-Server ausgenutzt haben. Die Ryuk-Ransomware wird installiert, nachdem Emotet-Malware bereits in Netzwerken Fuß gefasst hat. Angreifer, die Sodinokibi, Medusalocker, Crysis und eine Reihe anderer Ransomware installieren, sind dafür bekannt, dass sie schwache RDP-Zugangsdaten missbrauchen.
Ein Ransomware-Vorfall ist kein einzelnes Ereignis. Er legt mehrere Sicherheitsprobleme offen, die es den Angreifern ermöglichen, Zugang zu einem Netzwerk zu erlangen, sich lateral zu bewegen und die Schlüssel-Assets für ihre Lösegeldforderung zu identifizieren.
Sowohl die jüngsten Daten zur Fertigungsindustrie als auch das Muster der Ransomware in ICS-Systemen deuten darauf hin, dass es möglicherweise Löcher in der entmilitarisierten Zone (DMZ) und der Netzwerksegmentierung gibt und eine Kompromittierung aus dem IT-Netz in das OT-Netz gelangen kann. Ein weiteres mögliches Problem besteht darin, dass es Fernzugriffsverbindungen direkt in das OT-Netzwerk gibt, die schwach oder bei den Schutzmaßnahmen nicht berücksichtigt sind. Eine echte Wiederherstellung darum erst, wenn die Sicherheitsschwachstellen, die die Ransomware-Infektion überhaupt erst ermöglicht haben, behoben sind.
Sicherheit für Fertigungsnetzwerke
Während der letzten paar Jahre hat sich gezeigt, dass Fertigungsnetzwerke genauso einfach zu kompromittieren sind wie jedes andere Netzwerk einer anderen Branche. Selbst mit der spezialisierten Ausrüstung, Software sowie Protokoll- und Netzwerksegmentierung gelingt es Angreifern routinemäßig ICS-Systeme zu erpressen.
Bewährte Standard-Sicherheitspraktiken und -lösungen funktionieren, aber sie müssen in einer Weise eingesetzt werden, die genau auf die Produktionsumgebung abgestimmt ist. Abgesehen von den Standardfähigkeiten von Sicherheitslösungen sind die folgenden zusätzlichen Anforderungen vorhanden, die Sicherheitsbeauftragte in der Fertigungsindustrie bei der Bewertung von Sicherheitslösungen beachten müssen:
- Niedrige Latenzzeit. Die Lösungen sollten zeitempfindliche Produktionsprozesse nicht beeinträchtigen.
- Protokolle, die mit OT-Protokollen im Feld vertraut sind. Sicherheitsprodukte sollten den Verkehr von und zu ICS-Systemen einwandfrei identifizieren und überwachen.
- Integrierte Überwachung und Erkennung in IT- und OT-Netzwerken. Sicherheitsstrategien brauchen Produkte, die zusammenarbeiten und Daten zwischen Netzwerksegmenten austauschen können, um so die Benutzerfreundlichkeit zu erhöhen und die Überwachung und Reaktion zu vereinfachen.