Ransomware-Angriffe in der Agrarindustrie: Das müssen Sie wissen

Ransomware-Banden greifen Lebensmittel- und Landwirtschaftsunternehmen an. Dabei verursachen sie Gefahr für Leib und Leben sowie finanzielle Verluste. Zudem wirken sich die Angriffe direkt auf die Lebensmittelversorgungskette aus, warnt das FBI. Das Ziel dieser kriminellen Gruppen reicht von kleinen landwirtschaftlichen Betrieben, Märkten und Restaurants bis hin zu großen Betrieben, die Lebensmittel herstellen und verarbeiten. Allesamt erleiden durch Lösegeldzahlungen, Produktivitätsverluste und finanzielle Einbußen – ganz zu schweigen vom möglichen Verlust sensibler Daten und der Schädigung ihres jeweiligen Rufs.

Laut der FBI-Warnung begannen Ransomeware-Banden, ihre Angriffe auf den Lebensmittelsektor zu konzentrieren, nachdem dieser zunehmend auf intelligente Technologien, industrielle Steuerungs- und Automatisierungssysteme und das Internet der Dinge (IoT) angewiesen war.

In seinem Bericht hebt das FBI hervor, dass Cyberkriminelle den Anwendungsbereich schrittweise ausweiten können. Beginnend mit Systemen der Informationstechnologie (IT) und Geschäftsprozessen bis hin zu Anlagen der Betriebstechnologie (OT), die physische Prozesse überwachen und steuern sowie den Produktionszyklus beeinflussen können. Dies ist unabhängig davon, ob die Schadsoftware in der einen oder anderen Umgebung eingesetzt wurde (IT/OT).

Ohne Namen zu nennen, geht der FBI-Bericht auf die jüngsten Fälle von Ransomware-Angriffen auf mehrere Unternehmen im Lebensmittel- und Landwirtschaftssektor ein. Darunter auch auf den Angriff auf Unternehmen JBS im Mai 2021. Die vorübergehende Abschaltung führte zu einer Verringerung des Schlachtvolumens und zu einem Rückgang des Fleischangebots in den Vereinigten Staaten. Dadurch kam es zu einem Preisanstieg von bis zu 25 %. JBS ist der zweitgrößte Fleisch- und Geflügelverarbeiter in den USA. Auf ihn entfällt fast ein Viertel der gesamten Rindfleischproduktion des Landes. Auch ein Fünftel der Schweinefleisch-Produktion stammt von JBS.

Ein weiterer vom FBI angeführter Fall betrifft einen US-amerikanischen Bauernhof. Dieser wurde im Januar 2021 Opfer eines Ransomware-Angriffs. Das Unternehmen erlitt durch die vorübergehende Stilllegung seiner landwirtschaftlichen Aktivitäten einen Schaden von rund 9 Millionen US-Dollar. Der Angreifer verschaffte sich über kompromittierte Anmeldedaten Zugang zu den internen Servern der Farm auf Administratorenebene. Zu den weiteren erwähnten Vorfällen gehören eine US-amerikanische Bäckerei, die im Juli 2021 gezwungen war, ihre Türen für eine Woche zu schließen. Zudem ein internationales Lebensmittel- und Landwirtschaftsunternehmen mit Sitz in den USA. Im November 2020 wurde es Opfer der OnePercent-Gruppe, die ein Lösegeld in Höhe von 40 Millionen US-Dollar forderte.

Ransomware-Angriffe werden 2021 wohl kaum aus den Nachrichten verschwinden. Zugleich hat der Anstieg von Ransomware-as-a-Service eine neue Kriminalitätswelle ausgelöst. Diese Trends sollten den Stresspegel von Unternehmensleitern erhöhen. Doch wie gut sind ihre Unternehmen darauf vorbereitet? Und wie reagieren sie am besten, wenn sie Opfer solcher Verbrechen werden?

Die schädlichen Auswirkungen von Ransomware-Attacken nehmen weiterhin zu. Nach Angaben des FBI verdoppelte sich der durchschnittliche Betrag, der für Ransomware in Rechnung gestellt wurde, zwischen 2019 und 2020. Der durchschnittliche Preis für eine Cyberversicherung stieg unterdessen im gleichen Zeitraum um 65 %. Der Bericht des FBI-eigenen Internet Crime Complaint Center (IC3) meldete 2.474 Beschwerden für das Jahr 2020, die als Ransomware identifiziert wurden. Diese Beschwerden enthielten bereinigte Verluste von mehr als 29,1 Millionen US-Dollar über alle Branchen hinweg. Separate Studien zeigen, dass 50 bis 80 % der Opfer, die Lösegeld gezahlt haben, erneut Ransomware-Angriffe erlebt haben. Das entweder von denselben Angreifern oder von anderen Gruppen. Obwohl bei den Angriffen verschiedene Techniken eingesetzt werden, sind die häufigsten Mittel E-Mail-Phishing-Kampagnen, Schwachstellen in RDP-Protokollen und allgemeine Schwachstellen in der Software.

Ransomware hat sich zu einem lukrativen Geschäftsmodell für Cyberkriminelle entwickelt. Die Straftaten sind stark ausdifferenziert: die Entwickler des Malware-Codes und der Betriebssoftware, verbundene Unternehmen, die den Angriff ausführen und vor dem Angriff Informationen sammeln, Ransomware-Verhandlungsführer und sogar technisches Supportpersonal, das bei der Wiederherstellung der Daten des Opfers hilft.

Lässt man diese Zahlungen zu, entsteht das faule Narrativ, dass Ransomware eine existenzielle Bedrohung für Unternehmen darstellt und als hätten diese keine andere Wahl, als zu zahlen. Die Realität ist jedoch viel komplexer. „Ransomware ist im Allgemeinen sehr ernst, aber nicht immer eine existenzielle Bedrohung und selten eine Bedrohung für das Leben”, sagt Ciaran Martin, Professor für Management öffentlicher Organisationen an der Blavatnik School of Government und ehemaliger geschäftsführender Vorsitzender des National Cyber Security Center, Teil des GCHQ. „Wenn man zahlt, erhält man oft nur einen mäßig wirksamen Entschlüsselungsschlüssel, den man dann aber auf beschädigten und zu reparierenden Systemen einsetzen muss”, fügt er hinzu.

Wir sollten dieses Problem nicht so stark vereinfachen, dass es somit den Kriminellen nützt. Eine kürzlich durchgeführte Umfrage des Managed-Services-Anbieters Talion, der die #RansomAware-Initiative ins Leben gerufen hat, um das Cyber-Shaming von Opfern zu verhindern, ergab, dass 79 % der Cybersicherheitsexperten dafür sind, Zahlungen illegal zu machen. Der leitende Bedrohungsanalyst von Talion, Mitchell Mellard, räumt ein, dass die Debatte viele Seiten hat. Dennoch sei es Tatsache, dass diese Kriminelle ermutigt und in die Lage versetzt, ungestraft mit solchen Belohnungen fortzufahren.

„Ich denke nicht, dass die Zahlungsoption abgeschafft werden sollte. Aber sie sollte reguliert werden”, sagt Mellard. „Man sollte sie auf Fälle beschränken, in denen das Netzwerk oder der Datensatz kritisch ist, wie zum Beispiel ein Krankenhaus oder eine kritische Infrastruktur.”

Vorbeugen ist immer besser als heilen

Das Thema Ransomware-Prävention hat eine gewisse Ironie. Nicht zuletzt deshalb, weil einige der Angreifer selbst Ratschläge zur Schadensbegrenzung als Teil des Prozesses zur Abschaltung des Angriffs anbieten. Ja, Sie haben richtig gelesen: Einige Ransomware-Gruppen legen ihre Angriffsrouten offen und geben Ratschläge, wie die Opfer ihre Netzwerke am besten vor künftigen Angriffen schützen können.

Sicherlich ist es für Unternehmen nie eine gute Idee, Sicherheitstipps von ihren Angreifern anzunehmen. Dennoch sollte die Weitergabe von Informationen auf der Agenda der Ransomware-Bekämpfung stehen, um den Bedrohungszyklus zu durchbrechen.

Die Initiative #RansomAware will dabei eine zentrale Rolle spielen. Der britische Verband für Cybersicherheit ist Teil dieser Koalition von Unternehmen, die Erfahrungen und Ideen austauschen und Informationen über Ransomware-Angriffe sammeln wollen – wenn nötig auch anonym.

„Der Informationsaustausch ist die einzige Möglichkeit, Cyberkriminellen einen Schritt voraus zu sein. Sie arbeiten zusammen, um ihre Angriffe erfolgreicher zu machen. Eine stärkere Zusammenarbeit ist also der Schlüssel, um auch unsere Verteidigung zu stärken”, betont Lisa Ventura. Sie ist CEO der UK Cyber Security Association und sprach in einem von Raconteur produzierten Special mit Davey Winder von Forbes. Offen über Angriffe zu sprechen, hilft, die verwendeten Techniken besser zu verstehen. Kriminelle profitieren nur davon, wenn Unternehmen so so tun, als gäbe es sie nicht und verhindern, dass die Medien davon erfahren.

„Je mehr Unternehmen bereit sind, darüber zu sprechen, dass sie Opfer eines Ransomware-Angriffs geworden sind”, so Mellard, „desto schneller und umfassender kann die Informationssicherheitsbranche Erkennungs- und Gegenmaßnahmen für die von Ransomware-Gruppen eingesetzten Tools entwickeln.

Ein paar einfache Präventionsmaßnahmen können das Risiko, Opfer eines Ransomware-Angriffs zu werden, ebenfalls erheblich verringern.

In dem Bericht listet das FBI mehrere Maßnahmen auf, die von der Agrar- und Ernährungswirtschaft ergriffen werden können. Damit kann sich die Wahrscheinlichkeit verringern, Opfer von Cyberkriminalität zu werden:

• Erstellen Sie regelmäßig Backups und schützen Sie diese mit Passwörtern.
• Erstellen Sie einen Wiederherstellungsplan, um mehrere Kopien von sensiblen oder geschützten Daten und Servern an physisch getrennten und sicheren Orten aufzubewahren.
• Implementieren Sie eine Netzwerksegmentierung.
• Installieren Sie Updates und Patches für Betriebssysteme, Software und Firmware, sobald sie veröffentlicht werden.
• Verwenden Sie eine Multi-Faktor-Authentifizierung mit starken Passwörtern. Agribusiness ist ein Ziel für Ransomware-Banden.
• Wählen Sie den kürzesten akzeptablen Zeitraum für Passwortänderungen und vermeiden Sie die Verwendung derselben Passwörter für verschiedene Konten.
• Deaktivieren Sie ungenutzte Fernzugriffs-/RDP-Ports und überwachen Sie Zugriffsprotokolle.

Mit anderen Worten:

Dies gilt für Computer und alle anderen mobilen Geräte und Gadgets, die Sie möglicherweise besitzen. Erstellen Sie mehrere Backups all Ihrer wichtigen Daten und stellen Sie sicher, dass diese sich nicht alle an einem Ort befinden. Es ist auch sehr wichtig, Ihre Backups regelmäßig zu testen und zu überwachen. So können Sie im Bedarfsfall sicher sein, dass sie auch wirklich funktionieren.

Der beste Weg, diese Art von Angriffen zu verhindern, ist die Aufklärung. In der Regel sind IT-Mitarbeiter von dieser Art von Angriffen nicht sehr betroffen. Denn sie können verdächtige E-Mails und Websites erkennen, bevor sie auf Links klicken. Wenn Sie andere im Unternehmen darüber aufklären, wie sie das Gleiche tun können, wird ihre Anfälligkeit für diese Art von Angriffen verringert. Spam-Filter, Antiviren-Software und Firewalls tragen zur Sicherheit Ihres Netzwerks bei. Dennoch können sie nicht verhindern, dass ein Benutzer Ihre Sicherheit umgeht. Die Verwendung der Gruppenrichtlinienverwaltung und von Black- und Whitelists für Websites, um zu regeln, was Ihre Kollegen herunterladen, installieren oder anklicken können, ist ebenfalls eine gute Praxis.

Wenn es um die Verbreitung von Malware geht, sind nicht alle Tricks neu. Infektionen erfolgen immer noch über Makros, obwohl die neuesten Softwareprogramme diese standardmäßig deaktivieren. Achten Sie darauf, dass Sie die Standardeinstellungen beibehalten und nur Makros aus überprüfbaren und vertrauenswürdigen Quellen herunterladen. Selbst dann sollten Sie vorsichtig sein.

Um immer auf dem neuesten Stand zu sein, sollten Sie Ihre Betriebssysteme, Anwendungen und andere Software regelmäßig aktualisieren. Updates enthalten in der Regel sicherheitsrelevante Korrekturen, die Sie nicht verpassen sollten. Sie können sich auch die Mühe ersparen, aktiv nach Updates zu suchen, indem Sie Benachrichtigungen einrichten, die Sie informieren, wenn sie verfügbar sind, oder indem Sie automatische Downloads einrichten.