Trend-Micro-Bericht: Deutschland besonders stark von Grayware betroffen
Ransomware-Angriffe auf industrielle Steuerungssysteme
Der Cybersicherheitsspezialist Trend Micro veröffentlichte einen aktuellen Bericht, der das steigende Risiko von Ausfallzeiten und Diebstahl sensibler Daten durch Ransomware-Angriffe auf Industrieanlagen hervorhebt.
Als wesentlicher Bestandteil von Energieversorgungs- und Fertigungsanlagen sowie anderen industriellen Betrieben sind industrielle Steuerungssysteme (Industrial Control Systems, ICS) zur Überwachung und Steuerung industrieller Prozesse über IT/OT-Netzwerke hinweg im Einsatz. Wenn Ransomware ihren Weg in diese Systeme findet, kann sie den Betrieb für Tage lahmlegen.
Der Bericht von Trend Micro zeigt, dass Varianten der Malware-Familien Ryuk (20 Prozent), Nefilim (14,6 Prozent), Sodinokibi (13,5 Prozent) und LockBit (10,4 Prozent) für mehr als die Hälfte der ICS-Ransomware-Infektionen im Jahr 2020 verantwortlich sind. Im Vergleich zu Ländern wie Japan (4,7 Prozent) oder den USA (9,8 Prozent), die neben Deutschland zu den zehn Ländern mit der größten Anzahl an IT/OT-Netzwerken mit ICS-Endpunkten zählen, weist Deutschland mit 17,3 Prozent einen vergleichsweise hohen prozentualen Anteil an Grayware auf. Als Grayware sind potenziell unerwünschte Anwendungen, Adware (Programme, die unerwünschte Werbung anzeigen) oder Hacking-Tools bezeichnet. Darüber hinaus stellt die Studie des japanischen Sicherheitsanbieters fest, dass industrielle Steuerungssysteme in Deutschland weltweit mit der meisten Adware infiziert sind – meist aufgrund von Programmen, die mit Software-Tools gebündelt sind.
Aus Studie geht außerdem hervor, dass Bedrohungsakteure ICS-Endpunkte infizieren, um mit ungepatchten Betriebssystemen, die noch für EternalBlue anfällig sind, Kryptowährung zu schürfen. Eine weitere Erkenntnis ist, dass Legacy-Malware wie Autorun, Gamarue und Palevo in IT/OT-Netzwerken immer noch überall im Umlauf sind und sich über Wechsellaufwerke verbreiten.
Die Studie fordert IT-Sicherheits- und OT-Teams zu einer engeren Zusammenarbeit auf, um wichtige Systeme und Abhängigkeiten wie Betriebssystemkompatibilität und Laufzeitanforderungen zu identifizieren und so effektivere Sicherheitsstrategien zu entwickeln.
Trend Micro gibt darüber hinaus die Empfehlung, Schwachstellen unmittelbar zu patchen. Ist dies nicht möglich, sollten Unternehmen eine Netzwerksegmentierung oder virtuelles Patching in Betracht ziehen. Außerdem weist der Sicherheitsspezialist darauf hin, dass Unternehmen Ransomware nach dem Eindringen bekämpfen können, indem sie die Ursachen der Infektion mit Hilfe von Software zur Anwendungskontrolle und Tools zur Threat Detection und Response eindämmen, um auf diese Weise Netzwerke nach IoCs (Indicator of Compromise) zu durchsuchen. Zudem können IDS (Intrusion-Detection-Systeme) oder IPS (Intrusion-Prevention-Systeme) das normale Netzwerkverhalten erfassen und verdächtige Aktivitäten frühzeitig erkennen. Darüber hinaus sollten Unternehmen ICS-Endpunkte auch in vermeintlichen Air-Gap-Umgebungen regelmäßig mit Standalone-Tools scannen. Außerdem lassen sich mit USB-Malware-Scannern Wechsellaufwerke überprüfen, die für den Datentransfer zwischen Air-Gapped-Endpunkten in Verwendung sind. Die finale Trend-Micro-Empfehlung für Unternehmen lautet, dass sie das Prinzip der geringsten Rechte auf OT-Netzwerkadministratoren und -betreiber anwenden sollten.
Lesen Sie mehr zum Thema
