Ransomware Ekans: Gefahr für OT- und ICS-Umgebungen

18. Februar, 2020

Seit fünf Jahren dominiert Ransomware die Liste der erfolgreichsten Schadprogramme. Seit Ende 2019 ist der „Evergreen“ der Malwareklassen um eine Nuance reicher: Ekans (Snake rückwärts geschrieben, wird auch Snakehose genannt) greift auch in OT- und ICS-Netzwerke ein.

Ransomware verschlüsselt Daten, löscht Backups und stoppt Prozesse

Ekans verbreitet sich manuell vor allem via E-Mails und über Exploits schlecht gesicherter Systeme, weiß man bei IKARUS-Partner Nozomi Networks.[1] Dort hatte man am 8. Jänner, 48 Stunden nach der ersten Meldung, die entsprechenden Signaturen und Regeln bereits in die hauseigene Threat Intelligence integriert.

Neben der typischen Verschlüsselung von Dateien und Programmen sucht und löscht Ekans Backups auf infizierten Geräten. Verschlüsselten Daten können dadurch nicht wiederhergestellt werden. Zusätzlich bringt die Malware eine „kill list“ mit Prozessen, die gestoppt werden, mit. Darunter finden sich Sicherheits- und Verwaltungssoftware, Datenbanken und Datensicherungslösungen – und auch ICS-bezogene Prozesse. Industriebetriebe sind unmittelbar in Gefahr.

Erstmals auch industrielle Steuerungsprozesse im Visier

Die Kenntnisse der Angreifer über industrielle Kontrollsysteme scheinen rudimentär. Es könnte sich bei den ICS-bezogenen Prozessen auf der „kill list“ um einen „Seitenhieb“ handeln, um in den IT-Netzwerken möglichst breiten Schaden anzurichten. Denn der Großteil der Prozesse habe nichts mit industriellen Kontrollsystemen zu tun, weiß IKARUS-Partner FireEye. Die gleiche Prozessliste, die in Ekans hinterlegt ist, hatte bereits die Ransomware MegaCortex verwendet. FireEye vermutet daher „Synergieeffekte“. Weitere Überschneidungen zwischen den beiden Malware-Familien scheint es nicht zu geben.

Laut Analysen der Sicherheitsforscher von Dragos, die die Malware im Jänner entdeckten, kann Ekans keine Befehle in die Steuerungssysteme eingeben oder Abläufe manipulieren. Dennoch scheint Gefahr in Verzug: Die tatsächlichen Auswirkungen der hardgecodeten „kill list“ auf industrielle Steuerungssysteme sind unklar. Verlust von Sichtbarkeit und Kontrolle sind mögliche Folgen. Auch bei abgesicherten Systemen, die im Notfall auf manuelle Steuerung zurückfallen, bleibt zumindest das Risiko hoher finanzieller Folgen bestehen.[2]

Sicherheitsempfehlungen für industrielle Umgebungen

„MegaCortex und Ekans haben eine neue Qualität in die Angriffsszene gebracht“, warnt DI Christoph Barszczewski von IKARUS Security Software: „Während die bisherigen Angriffe auf die Industrie wie Norsk Hydro der ‚normalen‘ Ransomware zuzuschreiben sind, schrieb jetzt jemand explizit Ransomware, die gezielt auch ICS-Prozesse bestimmter Anbieter angreift. Das ist ein Novum. Die Büchse der Pandora ist geöffnet.“ Es ist außerdem mit hoher Wahrscheinlichkeit davon auszugehen, dass hinter Ekans Kriminelle und keine staatlichen Akteure stehen.

Industriebetriebe sollten wachsam sein und ihre Schutzmechanismen kontrollieren. OT-Spezialist Nozomi empfiehlt besonderes Augenmerk auf die folgenden Security-Richtlinien zu legen, um die Sicherheit und Visibilität im operativen Bereich zu stärken:

  • E-Mail-Scanning und E-Mail-Filter zur Abwehr von Malware-Kampagnen
  • Sicherheitsbewusstsein aller MitarbeiterInnen, um Phishing-Kampagnen zu erkennen und abzuwehren
  • Netzwerküberprüfung v.a. in Hinblick auf Netzwerkisolierung und Firewall Policies
  • Absicherung aller Geräte und Services, sodass keine bekannten Sicherheitslücken offenbleiben
  • Implementierung einer Backup-Policy, die schnellen Zugriff auf betroffene Dateien unterstützt

Transparenz und Sicherheit in IT-, OT- und ICS-Umgebungen

Unternehmen, die ihre IT- und OT-Netzwerke absichern möchten, profitieren von einer gemeinsamen Sicherheitsplattform. Diese zeigt die Erkenntnisse und Warnungen aller sicherheitsrelevanten Anwendungen in einem Interface an. Vorteile sind der detaillierte Überblick über die gesamte Infrastruktur, alle Geräte, Systeme und Protokolle, sowie die frühzeitige Gefahrenerkennung und schnelle Reaktionsfähigkeit.

IKARUS bietet gemeinsam mit FireEye und Nozomi Networks eine zentrale modulare Plattform an. Lokale Installationen, wo diese sinnvoll und notwendig sind, werden mit der Möglichkeit vereint, einen Teil der Services wahlweise on-premise zu betreiben oder aus der Cloud zu beziehen. Der Vorteil des Technologie-Zusammenschlusses liegt in der Integration aller Services und Hardware in das IKARUS Rechenzentrum in Wien: Alle Daten werden lokal verarbeitet, während voller Zugriff auf die globale Threat Intelligence der internationalen Services besteht.

IKARUS als zentraler Ansprechpartner, Systemintegrator und 24/7 Support-Team ermöglicht innerhalb von vier Wochen volles Onboarding.

Ihr Ansprechpartner für OT- und ICS-Sicherheit:

DI Christoph Barszczewski
christoph.b@ikarus.at
Tel. +43 1 58995-157

Informationen zu IT-, OT- und ICS-Security: https://www.ikarussecurity.com/it-ot-ics-security/

Linktipps:

IKARUS, FireEye und NOZOMI: Technologischer Schulterschluss für mehr Sicherheit in IT und OT

IoT, IIoT, ICS: Definitionen, Gemeinsamkeiten, Unterschiede

Industrie 4.0: Wie steht es um Ihre Digitalisierung-Strategie?


[1] https://www.nozominetworks.com/blog/snake-ransomware-raising-concerns-for-ics/

[2] https://dragos.com/blog/industry-news/ekans-ransomware-and-ics-operations/

Red Teams, Blue Teams, Purple Teaming

MSSP of the Year 2024

SIEM

Was ist ein SIEM?

Nozomi Guardian Air
HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download