Malware
Malware auf ICS-Endpunkten weltweit
Die zunehmende Verflechtung der Bereiche IT und OT in Industrial Control Systems (ICS) fördert zwar die Effizienz, aber macht die Systeme auch anfälliger für Bedrohungen.
Originalbeitrag von Matsukawa Bakuei, Ryan Flores, Lord Alfred Remorin, Fyodor Yarochkin, Sr. Threat Researchers
Die zunehmende Verflechtung der Bereiche IT und OT in Industrial Control Systems (ICS) fördert zwar die Effizienz, aber macht die Systeme auch anfälliger für Bedrohungen. Unternehmen sollten mögliche Sicherheitsprobleme untersuchen, um eine Kompromittierung zu verhindern. Das Trend Micro-Whitepaper „2020 Report on Threats Affecting ICS Endpoints“ beinhaltet Forschungsergebnisse zu ICS-Endpoints und den Bedrohungen, wie etwa Ransomware, Kryptowährungs-Miner und Legacy-Schädlinge. Aus diesen Erkenntnissen haben wir eine Liste der zehn Länder mit den meisten Malware- und Grayware-Erkennungen (wie potenziell unerwünschte Anwendungen, Adware und Hacking-Tools) zusammengestellt.
Im Folgenden finden Sie einige wichtige Erkenntnisse über bestimmte Arten von Bedrohungen:
- In den USA war die Zahl der von Ransomware betroffenen Organisationen am höchsten.
- In Indien fanden wir die meisten Kryptowährungs-Miner, Equated-Malware und WannaCry-Ransomware.
- Infektionen mit Legacy-Malware (insbesondere Würmer in Wechsellaufwerken und dateiinfizierende Viren) wurden vor allem in Indien, China, den USA und Taiwan festgestellt.
- In Japan entdeckten wir die höchste Zahl an Emotet-Infektionen. Zwar ist Emotet dafür bekannt, weitere Schädlinge wie Ryuk, Trickbot oder Qakbot abzulegen, doch die Daten zeigen keine weitere Installation von Malware.
- ICS-Systeme in Deutschland wiesen die meiste Grayware auf, vor allem aufgrund der Bündelung von Adware mit Software-Tools.
Ransomware
Wie bereits erwähnt, fanden wir in ICS-Systemen in den USA am häufigsten Ransomware, gefolgt von Indien, Taiwan und Spanien.
Betrachtet man jedoch den prozentualen Anteil der Organisationen, deren ICS von Ransomware betroffen waren, wies Vietnam die meisten Entdeckungen auf, gefolgt von Spanien und Mexiko.
Kryptowährungs-Miner
In Indien fanden wir die meisten Miner, wobei MALXMR die häufigste Variante darstellte. Von den Ländern, in denen MALXMR auf ICS-Endpunkten läuft, entfallen mehr als ein Drittel der Erkennungen auf Indien. Dies zeigt, dass ICS-Software in dem Land für EternalBlue anfällig ist. Diese Daten werden durch den hohen Prozentsatz an Erkennungen für WannaCry-Ransomware in derselben Region gestützt. Besagte Ransomware nutzt ebenfalls EternalBlue aus.
Empfehlungen für den Schutz von ICS vor diesen Bedrohungen
Um ICS vor Bedrohungen zu schützen, müssen Unternehmen ihre Systeme regelmäßig patchen und aktualisieren. Obwohl dies vor allem bei älteren Systemen ein langwieriger Prozess sein kann, ist er notwendig, um Bedrohungen abzuwehren, bevor sie eindringen und ernsthaften Schaden anrichten können. Wenn das Patchen keine Option ist, können Unternehmen auch auf virtuelle Patching-Technologien zurückgreifen.
Unternehmen können auch Mikrosegmentierung implementieren, um die Sicherheit zu erhöhen, indem der Netzwerkzugriff und die Kommunikation auf die notwendigen Geräte und Protokolle beschränkt werden. Die Einhaltung des Prinzips der geringsten Privilegien, bei dem Mitarbeiter nur genau die Zugriffsrechte erhalten, die sie benötigen, und nicht mehr, würde ebenfalls dazu beitragen, die mögliche Verbreitung von Bedrohungen einzudämmen.
Sicherheitslösungen wie TXOne StellarProtectTM können ebenfalls hilfreich sein. Es geht dabei um eine Anwendungskontroll-Software, die nur bekannte, gutartige Executables und Prozesse auf einem Endpunkt zur Ausführung zulässt. Diese Lösung bietet über maschinelles Lernen und die ICS-Vertrauensbasis einen Pattern-losen Schutz vor bekannter und unbekannter Malware.
Weitere Empfehlungen umfasst der Report „2020 Report on Threats Affecting ICS Endpoints“.
Haftungsausschluss: Bitte beachten Sie, dass diese Erkennungszahlen aus der Abdeckung der weltweit verteilten SPN-Sensoren stammen, und die ist nicht vollständig. Diese regionalen Ranglisten und Zahlen können nicht frei von solchen durch den Marktanteil beeinflussten Verteilungsverzerrungen sein.