Die Digitalisierung treibt nicht nur neue Geschäftsmodelle und Prozesse voran, sie bietet leider auch Cyberkriminellen neue Angriffsflächen. Die Bedrohung durch Ransomware betrifft mittlerweile nicht nur die IT-Systeme von Unternehmen, sondern auch die industrielle Sicherheit. Die Angriffe steigen. Das ICO (Information Commissioner Office) aus Großbritannien meldete auf seiner Konferenz im Mai 2021 einen Anstieg um monatlich 13 Ransomware-Vorfälle auf nunmehr 42 im UK.
Ein bemerkenswerter Vorfall war der Ausfall der Treibstoffversorgung an der gesamten Ostküste der USA. Auslöser war der zentrale Betreiber der Pipeline-Infrastruktur in mehreren Staaten. Der Angriff führte zu großflächigen Treibstoffengpässen an nahezu allen Tankstellen. Die Auswirkungen waren so weitreichend, dass der nationale Notstand ausgerufen wurde.[1]
Ein anderer weitreichende Vorfall hat im Juni 2021 stattgefunden, als über 1.500 Unternehmen weltweit von der sogenannten „Kaseya-Ransomware“ betroffen waren. Bemerkenswert war der indirekte Angriffsvektor, bei dem die als sicher erachtete Management-Software von unterstützenden Zuliefer- und Dienstleistungsunternehmen als Infiltrationskanal gedient hat. Die Herangehensweise erinnert an die Ausnutzung der Sicherheitslücke der Management-Software „Solarwinds“ im Dezember 2020.[2]
Zielgerichtete Attacken auf aussichtsreiche Ziele
Als Drahtzieher der Attacken stehen gut organisierte, global agierende Gruppen aus verschiedenen Nationalstaaten unter Verdacht. Die Akteure sind flexibel und einfallsreich, um immer neue Schwachstellen auszunutzen.[3] Haben die Angreifer erst Zugriff auf ein internes System bekommen um von dort aus zu agieren, besteht die beste Chance darin, sie so schnell als möglich zu entdecken.
Besonders weiterentwickelte Formen der Schadsoftware sind inzwischen darauf ausgerichtet, möglichst lange unentdeckt zu bleiben. Auch mehrere Sicherheitsebenen innerhalb der Unternehmen können mit dieser Strategie überwunden werden, um dann besonders wertvolle und somit schützenswerte Bereiche des Unternehmens zu erreichen. Die Einfallstore für Ransomware-Angriffe sind dabei in der Regel leicht erreichbare Endpunkte im Unternehmen. Meist werden vom Nutzer unbemerkt Sicherheitslücken in gängigen Anwendungen ausgenutzt. Neben äußeren Verteidigungslinien gilt es daher auch das Verhalten der Endgeräte zu überwachen und Abweichungen zu erfassen.
Früherkennung, Schwachstellenreports und Verhaltensanalyse
Die IKARUS scan.engine erkennt und analysiert Malware in mehrstufigen Verfahren anhand von Signaturen, schädlichen Merkmalen und Verhaltensweisen. Auch FireEye Endpoint Detection and Response, die IKARUS für lokale Unternehmen auch im eigenen Scan Center in Wien als gehostete Variante anbietet, arbeitet mit der Früherkennung von Anomalien. Die EDR-Lösung (Endpoint Detection & Response) beinhaltet neben der Verhaltensanalyse die Erkennung über die einzigartige Threat Intelligence (powered by Mandiant), um auch auf bekannte „Indicators of Compromise“ zu reagieren. Schnelle Erkennung und Reaktion auf eine Bedrohung kann den Schaden im Fall des Falles effizient begrenzen.
Nozomi GuardianTM powered by IKARUS bringt diese notwendige Transparenz über sämtliche Endpunkte, Schwachstellen und Anomalien auch in die industriellen Netzwerke der OT (Operational Technology). Protokolle aus IT, OT und IoT können damit sichtbar gemacht, überwacht und kontrolliert werden. Die Kommunikation im OT-Netz wird analysiert und sicherheitsrelevante Vorfälle werden zu gezielten Alarmen und Empfehlungen gebündelt.
Sie wünschen sich mehr Sichtbarkeit und Schutz für Ihre IT-, OT- oder IoT-Netzwerke?
Wir beraten Sie gerne und freuen uns auf Ihre Nachricht unter sales@ikarus.at oder Tel. +43 1 58995-500!
Unsere Empfehlungen:
IKARUS scan.engine: Leistungsstarker Algorithmus zur komplexen Malware-Erkennung
FireEye Endpoint Security: Effektive Verteidigung durch kombinierte Abwehrmechanismen
Nozomi GuardianTM powered by IKARUS: Umfassende Cyber-Security für OT-Umgebungen
Quellen:
[2] https://www.zdnet.de/88395639/kaseya-ransomware-angriff-rund-1500-unternehmen-betroffen