Ransomware
Malware-Erkennung in Industrial Control Systems
Unsere Untersuchung liefert auch Einblicke in die Erkennung von Malware in den zehn am stärksten betroffenen Ländern. Zudem sollen einige Best Practices dabei helfen, ein ICS-Cybersicherheitssystem zu stärken.
Originalartikel von Ericka Pingol, Threat Researcher
Ransomware, Legacy-Malware, Coinminer und Conficker stellen weiterhin eine große Gefahr für industrielle Steuerungssysteme (ICS) dar. Wir haben uns mit den bekannten spezifischen Malware-Familien in ICS-Endpunkten befasst, um die ICS-Sicherheit zu validieren. Zum Abschluss der Untersuchung soll es um die Erkennung von Malware in den zehn am stärksten betroffenen Ländern gehen. Zudem unterstützen einige Best Practices die Sicherheitsstrategien für Unternehmens-ICS.
Bild 1. Die Top 10-Länder mit dem höchsten Prozentsatz an Erkennungen von Malware- und Grayware in ICS
Die meisten Erkennungen von Malware- und Grayware-Bedrohungen gab es in China, die wenigsten in Japan. Aus geografischer Sicht ist zu erkennen, dass einige Bedrohungsarten bestimmte Länder stärker betreffen als andere.
Bild 2. Top-10-Länder nach Art der Bedrohungsentdeckungen
Legacy-Malware wurde am häufigsten in Indien, China, den USA und in Taiwan entdeckt. Für Coinminer, Equated-Malware und WannaCry war die Zahl der Funde in Indien am höchsten. In Japan gab es dagegen die meisten Emotet-Infektionen, während die ICS in Deutschland die meisten Adware-Vorfälle aufwiesen. Durch die Identifizierung dieser Bedrohungen können wir nun verschiedene Schritte festlegen, die ein Unternehmen aufsetzen kann, um seine industriellen Kontrollsysteme besser zu schützen.
Die erhaltenen Informationen sagen verschiedenes aus:
- Ransomware ist nach wie vor ein großes Problem und stellt eine sich rasch entwickelnde Bedrohung für ICS auf der ganzen Welt dar;
- Coinminer befallen ICS meist über ungepatchte Betriebssysteme;
- Conficker breitet sich weiterhin auf ICS-Endpunkten mit neueren Betriebssystemen aus;
- Legacy-Malware betrifft immer noch IT/OT-Netzwerke;
- Auf ICS-Endpunkten entdeckte Malware variiert zwischen den Ländern.
Aus den Erkennungsdaten können wir schließen, dass sowohl moderne Techniken wie dateilose Malware und Hacking-Tools als auch uralte Methoden wie der Autorun von Wechsellaufwerken ICS-Endpunkte erfolgreich infizieren können.
Bei einigen Angriffen steht auch mehr auf dem Spiel als bei anderen. Wie der Vorfall bei Colonial Pipeline zeigt, sind Ransomware-Angreifer auf „Großwildjagd“. Sie ermitteln, wen sie kompromittieren können und bestimmen dann die Schlüsselsysteme im Netzwerk, die die größte Störung verursachen würden. Danach zwingen sie das Opfer zur Zahlung.
Das Vorhandensein von Ransomware in ICS bei mehreren Angriffen könnte darauf hindeuten, dass die Angreifer diese Systeme jetzt erkennen und sie aktiv ins Visier nehmen.
Sicherheit ist oberstes Gebot für ICSs
Die Sicherheit bei der Verknüpfung des IT- mit dem OT-Netz muss ein eminent wichtiger Aspekt sein. Unternehmen sollten sich mit Sicherheitsproblemen befassen, die sowohl durch alte Malware als auch durch die neuesten Angriffstrends verursacht werden.
Die Verwendung von Malware-Erkennungen als eines der Kriterien für die Sicherheitsfähigkeit von IT/OT-Netzwerken kann dazu beitragen, ihre Sicherheitsposition zu verbessern und ICS-Endpunkte besser zu schützen.
Darüber hinaus sollten IT-Sicherheitsmitarbeiter mit OT-Ingenieuren zusammenarbeiten, um die Schlüsselsysteme angemessen zu versorgen und verschiedene Abhängigkeiten wie Betriebssystemkompatibilität und Verfügbarkeitsanforderungen zu ermitteln. Sie sollten sich auch mit den Prozessen und Betriebsverfahren vertraut machen und eine geeignete Cybersicherheitsstrategie für den Schutz dieser wichtigen Systeme planen.
Best Practices für die Sicherheit von ICS-Endpunkten
- Versorgen Sie Ihre Systeme mit Sicherheitsupdates, um Kompromittierung zu vermeiden. EnternalBlue wurde zunächst durch Zero-Day-Malware und dann durch handelsübliche Tools für die Installation von Coinminern der Equation-Gruppe ausgenutzt. Sobald ein Exploit veröffentlicht ist, wird er in die Programme der Angreifer aufgenommen. Daher ist das Patchen von entscheidender Bedeutung.
- Setzen Sie auf Mikrosegmentierung im Netzwerk oder bei virtuellen Technologien. In Fällen, wo Patching nicht möglich ist, kann dies die Sicherheit erhöhen, indem der Netzzugang und die Kommunikation auf die notwendigen Geräte beschränkt werden.
- Schränken Sie Netzwerkfreigaben ein und setzen Sie starke Kombinationen aus Benutzernamen und Kennwort ein. Diese Methode kann dazu beitragen, unbefugten Zugriff durch Brute-Force-Anmeldung zu verhindern.
- Nutzen Sie Intrusion Detection System (IDS) und Intrusion Prevention System (IPS). Diese können mögliche Netzwerkanomalien aufzeigen sowie bösartigen Datenverkehr identifizieren und die Sichtbarkeit der Geräte verbessern.
- Installieren Sie Antimalware-Lösungen. Diese schützen vor Legacy-Würmern und Viren, die als Schläfer in Wechsellaufwerken und Air-Gap-Systemen vorhanden sein können.
- Setzen Sie USB-Scanning auf. Diese Stationen können nach Malware auf Wechsellaufwerken suchen, die für den Datentransfer zwischen Air-Gap-Endpunkten verwendet werden.
- Wenden Sie das Prinzip der Mindestprivilegien an, sodass ein Betreiber das ICS nutzen darf, jedoch lediglich ein Admin Software installieren oder Systemänderungen am Endpunkt vornehmen kann.
- Für manche ICS ist der Einsatz einer sicheren Liste sinnvoll.
- Reagieren Sie auf Vorfälle und suchen Sie das Netzwerk nach Kompromittierungsindikatoren (IoCs) ab. Auf diese Weise können Sie das Ausmaß des Eindringens und die von den Angreifern ausgenutzten Sicherheitsschwachstellen ermitteln. Diese Schritte können auch bei der Entwicklung einer Sicherheitsstrategie auf der Grundlage des Vorfalls helfen.
Darüber hinaus kann eine robuste Sicherheitslösung dabei helfen, ICS und dessen Endpunkte auch für die Zukunft sicher zu gestalten. Trend Micro liefert fortschrittliche Produkte, die unterschiedlichen Anforderungen, einschließlich derer für ICS, Genüge tun.