Ransomware: Angriffe auf Industrie 2022 fast verdoppelt

Die Zahl der Ransomware-Angriffe auf industrielle Infrastrukturen hat sich im Jahr 2022 fast verdoppelt. Damit gehen mehr Risiken für Netzwerke der Betriebstechnik (OT) einher – betroffen sind insbesondere solche mit schwacher Segmentierung. Im vergangenen Jahr wurde diese Art der Cyber-Bedrohung durch ein neues modulares Malware-Kit namens Pipedream immer ausgefeilter. Die Chernovite-Gruppe hat das Kit entwickelt. Die Angriffe nehmen dabei oft Geräte zur Steuerung der Infrastruktur ins Visier: Stromnetze, Öl- und Gaspipelines sind ebenso betroffen wie Wassersysteme und Fabriken. Letztlich bedroht die Ransomware also ganze Lieferketten.

Die vom Cybersicherheitsunternehmen Dragos verfolgten Ransomware-Angriffe auf industrielle Betriebe verzeichneten im Jahr 2022 einen Anstieg um 87 % gegenüber dem Vorjahr. Seit 2020 haben die Forscher Gruppierungen verfolgt, die versuchen, in OT/ICS (Industrial Control System)-Netzwerke einzudringen. Im vergangenen Jahr wurden 35 % mehr Ransomware-Gruppen identifiziert, die auf OT/ICS-Umgebungen abzielten.

Für die Häufung der Angriffe gegen Industrieunternehmen gibt es mehrere Gründe – darunter geopolitische Spannungen, die Einführung von Lockbit Builder und das anhaltende Wachstum von Ransomware-as-a-Service (RaaS).

Darüber hinaus ist die Zahl der Schwachstellen im Jahr 2022 um 27 % gestiegen, wenn auch mit einer geringeren Wachstumsrate und Verbesserungen bei den Fehlerraten und Risikobewertungen. Während der gängige IT-Ansatz zur Schwachstellenminderung auf der Installation von Patches basiert, erfordert die OT-Welt oft System- und Anlagenabschaltungen. Um das Risiko zu mindern und gleichzeitig die Produktion aufrechtzuerhalten, sind alternative Lösungen essenziell. Das gestaltet die derzeitige Situation als äußerst herausfordernd.

Im Jahr 2022 verfolgte Dragos 20 cyberkriminelle Kollektive und entdeckte dabei zwei neue: Chernovite und Bentonite. Chernovite entwickelte die Pipedream-Malware, die siebte und neueste, die auf ICS abzielt. Pipedream ist die erste wiederverwendbare Multisektor-Bedrohung, die native industrielle Protokollfunktionen und eine Vielzahl von Geräten angreift. Den Untersuchungen zufolge nutzt die Malware bekannte und erfolgreiche Techniken, die bereits von ICS-Cyberangriffen bekannt sind.

Die Experten von Dragos sind der Meinung, dass auch andere nachweisbare Bedrohungen in Zukunft dank steigender Innovativität und Zerstörungskraft zunehmen werden. Daher ist es nicht unwahrscheinlich, dass industrielle Betriebe im Jahr 2023 weiterhin von Ransomware-Angriffen beeinträchtigen sind. Das geht auf mehrere Gründe zurück: Nicht nur weil Ransomware gegenläufige OT-Prozesse integriert, sondern auch weil Netzwerke die Verbreitung von Schadsoftware über OT-Umgebungen weiter erleichtern. Auch Betreiber selbst stellen ein Sicherheits- und Produktivitätsrisiko dar – indem sie OT-Umgebungen aus Präventionsgründen komplett herunterfahren, um mögliche Ransomware in ihrer Ausbreitung zu behindern. Generell vermutet man, dass Cyberangriffe vor allem dort zunehmen, wo Industriebetriebe stark mit ihren Kunden vernetzt und daher einfache und somit sehr attraktive Angriffsziele sind.

Das Whitepaper des SANS Institute „The Five Critical Controls for ICS/OT“ legt Betreibern fünf Präventionsmaßnahmen nahe, um sich vor Angriffen zu schützen:

1. ICS Incident Response Plan – Pläne für die Reaktion auf OT-Vorfälle sollten sich von denen für IT unterscheiden. Schließlich beinhalten sie Gerätetypen, Kommunikationsprotokolle sowie Vorgehensweisen, Techniken und Verfahren (TTPs), speziell für Bedrohungsgruppen im industriellen Umfeld. Dies erfordert spezielle Werkzeuge, Sprachen und Kontaktpunkte.

2. Verteidigungsfähige Architektur – OT-Sicherheitsstrategien beginnen in der Regel mit der Abschottung der Umgebung, der Beseitigung unnötiger Zugangspunkte zu OT-Netzwerken, der Aufrechterhaltung strenger Richtlinienkontrolle an den IT/OT-Schnittstellen und der Entschärfung hochriskanter Schwachstellen. Eine verteidigungsfähige Architektur ist jedoch mehr als das. Sie muss auch die beteiligten Personen und Prozesse unterstützen und die Sichtbarkeit sowie Überwachung der OT-Umgebung verbessern.

3. Sichtbarkeit und Überwachung – Man kann nur das schützen, was man auch im Blick hat. Eine erfolgreiche OT-Sicherheitsstrategie muss daher ein Inventar der Anlagen führen, Schwachstellen aufzeigen, entsprechende Pläne zur Schadensbegrenzung entwickeln und den Netzwerkverkehr aktiv auf potenzielle Bedrohungen überwachen. Mit den – im Rahmen des Monitorings – erkannten Bedrohungen können komplexe Netzwerke erweitert und automatisiert werden. Abwehrsysteme sollten sich auf die im Reaktionsplan identifizierten Verhaltensweisen konzentrieren. So ist es möglich, übermäßiges Rauschen zu vermeiden und sich auf die wichtigsten Risiken zu konzentrieren. Darüber hinaus kann die Überwachung auch dazu beitragen, Schwachstellen zu erkennen.

4. Sicherer Fernzugriff – Ein sicherer Fernzugriff ist in OT-Umgebungen von entscheidender Bedeutung. Die Multifaktor-Authentifizierung (MFA) ist eine klassische Art von IT-Kontrolle, die in OT-Umgebungen angemessen angewendet werden kann. Wo dies nicht möglich ist, bieten sich alternativ Jumphosts mit gezielter Überwachung an. Sie sollten auf Verbindungen innerhalb und außerhalb von OT-Netzen und nicht auf Verbindungen innerhalb der Netze angewendet werden.

5. Risikobasiertes Schwachstellenmanagement – Die Kenntnis von Schwachstellen und ein Plan zu ihrer Bewältigung sind für eine verteidigungsfähige Architektur unerlässlich. Ein effektives Schwachstellenmanagement-Tool im OT-Bereich erfordert neben einem Bewusstsein für die wichtigsten Sicherheitslücken auch korrekte Informationen und Risikobewertungen sowie Strategien zur Risikominderung. Diese Strategien sollten Gefährdungen effektiv minimieren und so den Betrieb aufrechterhalten.

Darüber hinaus hob Dragos die Schlüsselrolle der ICS-Anbieter hervor. Sie können auf zwei wichtige Arten helfen, um OT-Netzwerke vor Pipedream oder anderen Arten von Malware zu schützen: Einerseits sollten sie die Programme für das Schwachstellen- und Risikomanagement in Bezug auf den Software-Stack ihrer Produkte transparenter gestalten. Andererseits sind sie dazu aufgerufen, eine Software-Bill-of-Materials-Liste (SBOM) als Teil des Entwicklungszyklus einzuführen.

Zuletzt bleibt hervorzuheben: Kein Branchenakteur, Anbieter von Sicherheitslösungen oder ICS-Anbieter wird in der Lage sein, Ransomware-Angriffe alleine abzuwehren. Eine übergreifende Zusammenarbeit ist essenziell, um gemeinsam gegen solche Angriffe nachhaltig vorzugehen.