Organisierte Cyber-Kriminelle ändern ihren FokusGezielte Sabotage durch „Disruptionware“
25. September 2019Das Auftreten von Disruptionware macht deutlich: Organisierte Cyber-Kriminelle sind dabei, ihren Fokus zu ändern. Neu ist vor allem die Dimension der Attacken und die große Wahrscheinlichkeit, dass die Anzahl und der Umfang der Vorfälle in kurzer Zeit noch deutlich zunehmen werden. Besondere Gefahr droht, da trotz des immer stärkeren Einsatzes digitaler Innovation die meisten Unternehmen ihre Sicherheitsstrategie nicht anpassen.
In seinem Bericht „Rise of Disruptionware: A Cyber-Physical Threat to Operational Technology Environments“ verdeutlicht Forescout Technologies, dass es eine aktuelle Bedrohung durch neue Vorgehensweisen und Mechanismen gibt. Die Angreifer sehen es gezielt auf Assets ab, die nur schwer wiederherstellbar sind. Sie suchen gezielt nach Schwachpunkten, um tief in Netzwerke vorzudringen und greifen dann Bereiche an, für die es in der Regel keine Backups gibt.
Dazu verwenden organisierte Kriminelle, aber auch Angreifer ohne umfangreiches Technologie-Know-how unterschiedliche Schadsoftware und Angriffsmuster, um Geräte, Infrastruktur oder Applikationen lahmzulegen oder sogar komplett zu zerstören. Im Gegensatz zu klassischen Cyber-Attacken geht es den Tätern um gezielte Sabotage. Außerdem erkennen die Researcher, dass Industrieanlagen und der Gesundheitssektor besonders bedroht sind. Dies liegt an der umfangreichen Nutzung Operation Technology (OT) und unzureichenden Schutzmechanismen.
Ransomware spielt mit
Im Unterschied zur Vergangenheit setzen die Angreifer auf eine Vielzahl von Komponenten, um den Unternehmen zu schaden oder um sie zu erpressen. Häufigstes Werkzeug bleibt Ransomware, aber auch Wipers zur direkten Löschung von Daten, Permanent Denial of Service-Attacken (PDoS), Bot-Netzwerke, Veröffentlichung von gehackten Firmengeheimnissen und Remote Access Trojaner kommen zum Einsatz. Anstatt beispielsweise Festplatten von Computern zu verschlüsseln (die man Wiederherstellen oder notfalls austauschen könnte), möchte man Schließanlagen, Wasserversorgung und ähnliche kritische Devices außer Kraft setze – Ziel ist ein maximaler Schaden für die Opfer.
Laut Forescout haben spezialisierte Hackergruppen, wie die Sandworm APT oder Cybercrime FIN APT aus Russland, entsprechende Ansätze samt passender Malware in ihr digitales Arsenal übernommen. Nicht nur diese Vereinigungen selbst sind eine Bedrohung, sie sorgen auch dafür, dass Advanced Persistent Threats (APT) für Laien nutzbar sind.
Angriffe mit System
Bei Forescout erkennt man eine systematische Entwicklung und erwartet, dass sich die Bedrohungslage weiter verschlimmert. Grund ist die Zunahme von vernetzten Geräten und die voranschreitende Digitalisierung. Während immer mehr Endpunkte über Online-Verbindungen miteinander kommunizieren, verharren viele IT-Entscheider aber gerade bei der OT-Sicherheit in alten Paradigmen. Dort spielt die Absicherung von Informationen und der Zugangsschutz zu Endgeräten und Netzwerken nur eine untergeordnete Rolle. Mögliche Schutzmechanismen werden nicht implementiert, da man Einschränkung bei der Performance fürchtet.
Ein Beispiel ist die kürzlich Attacke gegen Norsk Hydro, bei dem ein Schaden von etwa 37 Millionen Euro entstand. Die Angreifer nutzen den Verschlüsselungstrojaner LockerGoga. Es kam zu keiner Lösegeldzahlung, allerdings war der Schaden immens. Durch den Betriebsausfall des größten Aluminiumherstellers waren auch viele weitere Industriezweige betroffen. Andere Beispiele sind Attacken mit NotPetya, BlackEnergy oder GermanWiper.
Im Bericht äußern die Experten die Angst, dass sich viele IT-Entscheider nicht wie Norsk Hydro zu den Vorfällen bekennen und stattdessen versuchen die Vorfälle unter den Teppich zu kehren. Dies geht so weit, dass Lösegelder sogar bezahlt werden, obwohl Behörden sich eindeutig dagegen die Zahlung aussprechen. (rhh)