Bedrohungsforschung

Ransomware gegen Industrieanlagen: Wie Hacker mit gezielten Angriffen auf IT- und OT-Systeme Produktionsprozesse unterbrechen

Spätestens seit 2017 ist ein deutlicher Anstieg der Zahl der öffentlich bekannt gewordenen Ransomware-Angriffe auf Industrieunternehmen und Betreiber kritischer Infrastrukturen zu verzeichnen. Infektionen mit prominenten Malware-Varianten wie WannaCry, LockerGoga, MegaCortex, Ryuk, Maze und seit Neuestem auch SNAKEHOSE (alias Snake bzw. Ekans) haben in vielen Branchen Kosten in Millionenhöhe für Lösegeldzahlungen und die Beseitigung der entstandenen Schäden verursacht. Zudem ziehen diese Vorfälle oft beträchtliche Störungen und Verzögerungen der Produktion, Lieferung und Bereitstellung von Gütern und Dienstleistungen nach sich.

Da in der öffentlichen Diskussion des Themas meist die in der Presse verbreiteten Informationen über die betroffenen Unternehmen und die unmittelbaren Auswirkungen auf bestimmte Industriezweige im Vordergrund stehen, verschwindet ein entscheidender Aspekt der jüngsten Ransomware-Angriffe aus dem Blickfeld: Unseren Beobachtungen zufolge wenden sich immer mehr finanziell motivierte Hackergruppen von opportunistischen Angriffstaktiken ab und setzen Ransomware erst nach der erfolgreichen Infiltration und sorgfältigen Ausspähung einer Infrastruktur ein. Auf diese Weise werden gezielte Operationen gegen zentrale Systeme aus der Produktionskette möglich. Die daraus resultierenden Ransomware-Infektionen beeinträchtigen kritische Netzwerkressourcen oder in OT-Netzwerke eingebundene Computer oft so schwerwiegend, dass Produkte und Services nur in unzureichender Zahl oder mit großer Verzögerung bereitgestellt werden können.

Eine genaue Analyse dieser neuartigen Ransomware-Angriffe auf Industriebetriebe erfordert sowohl Expertenwissen als auch tiefgreifende Einblicke in IT- und OT-Systeme. Deshalb nutzen wir in diesem Beitrag die Erkenntnisse, die wir im Rahmen unserer Beratungstätigkeit und bei unseren Bedrohungsstudien gewonnen haben, um den Wandel der auf Ransomware basierenden Angriffsmethoden und die dadurch möglichen Unterbrechungen der industriellen Produktion genauer zu beleuchten.

Industriebetriebe sind zunehmend durch gezielte, erst nach dem ersten Eindringen erfolgende Ransomware-Angriffe gefährdet

Herkömmliche Ransomware-Angriffe basieren auf dem Gießkannenprinzip und zielen darauf ab, eine große Zahl von Unternehmen mit Malware zu infizieren, um Lösegelder für verschlüsselte Dateien erpressen und sensible Daten stehlen zu können. Hier hoffen die Urheber darauf, von möglichst vielen Betroffenen Zahlungen in einer durchschnittlichen Höhe von 500 bis 1000 US-Dollar zu erhalten. Diese klassischen Kampagnen galten bisher kaum als Problem für die OT-Sicherheit, werden nun jedoch vermehrt durch im Rahmen komplexer Operationen erfolgende Ransomware-Angriffe auf bestimmte Industriebetriebe und Betreiber kritischer Infrastrukturen abgelöst.

Das bedeutet: Die Angreifer verschaffen sich beispielsweise mit breit gestreuter Malware Zugang zur Infrastruktur des anvisierten Unternehmens und konzentrieren sich nach dem ersten Eindringen zunächst auf die Erlangung erweiterter Nutzerrechte, die Ausspähung des Netzwerks und die Identifizierung kritischer Systeme, bevor sie ihre Ransomware einschleusen. Auf diese Weise können sie vermeiden, dass ihre Schadprogramme von sonst zuverlässig funktionierenden Sicherheitssystemen erkannt werden. Darüber hinaus ermöglicht diese Vorgehensweise eine flächendeckende Infektion kritischer Systeme, sodass  die Angreifer das Ausmaß und die Durchschlagskraft ihrer Operationen maximieren können. Das bringt enorme Vorteile bei der Aushandlung von Lösegeldern, deren Höhe üblicherweise von den finanziellen Mitteln des betroffenen Unternehmens und dem Wert der mit Ransomware infizierten Ressourcen abhängt. (Weitere Informationen und ausführliche technische Details zu vergleichbaren Operationen finden Sie in unseren aktuellen Blogbeiträgen über Angriffe der Hackergruppen FIN6 und TEMP.MixMaster.)


Abbildung 1: Ransomware-Kampagnen nach dem Gießkannenprinzip und gezielte Ransomware-Angriffe im Anschluss an einen bereits erfolgten Hackereinbruch im Vergleich

Früher erreichten die vorwiegend opportunistischen Ransomware-Kampagnen oft nur einzelne Computer – darunter gelegentlich auch über das Internet zugängliche oder durch Wechselspeichermedien infizierte IT/OT-Schnittstellensysteme. Doch seit 2017 beobachten wir zusätzlich Angriffe mit wurmartigen Malware-Varianten wie NotPetya und BadRabbit, die speziell darauf ausgelegt sind, möglichst viele Systeme eines Unternehmens zu infizieren und unwiderruflich zu löschen (obwohl es sich vorgeblich um „normale“ Ransomware handelt). Zu diesen beiden Gefahren kommen nun die oben angesprochenen gezielten Ransomware-Angriffe auf bereits zuvor infiltrierte Unternehmen, wodurch sich das Risiko für industrielle Produktionsprozesse auf dreierlei Weise erhöht:

  • Im Zuge des Übergangs zu gezielten Angriffen geraten umsatzstarke Versorgungsbetriebe, Gesundheitsdienstleister und Fertigungsunternehmen zunehmend ins Visier finanziell motivierter Hacker, die sich die Tatsache zunutze machen, dass die betroffenen Firmen stark auf unterbrechungsfreie Betriebsprozesse angewiesen sind. Das bedeutet, dass nun neben Infrastrukturen zur Verarbeitung geldwerter Informationen (wie Kreditkarten- oder Kundendaten) auch industrielle Produktionsanlagen zum Ziel des kriminellen Profitstrebens werden.
  • Da die Hacker jede infiltrierte Infrastruktur zunächst ausspähen und weiter durchdringen, bevor sie ihre Ransomware einschleusen und verbreiten, können sie flächendeckend die wichtigsten Ressourcen des Zielunternehmens ins Visier nehmen und sich dadurch optimal für die anschließenden Verhandlungen über Lösegeldzahlungen positionieren.
  • In der Vergangenheit wiesen viele der Taktiken, Techniken und Prozesse (TTP) finanziell motivierter Gruppen starke Ähnlichkeiten zur Vorgehensweise technisch extrem versierter Hacker in den anfänglichen und mittleren Phasen von Angriffen auf OT-Infrastrukturen auf. Deshalb ist es sehr wahrscheinlich, dass auch finanziell motivierte Angreifer in der Lage sind, in die als Bindeglied zwischen IT- und OT-Infrastruktur fungierenden Schnittstellensysteme einzudringen und von dort aus den Produktionsbetrieb mithilfe von Ransomware stark zu beeinträchtigen.

Finanziell motivierte Hackergruppen sind nachweislich in der Lage, OT-Ressourcen zu sabotieren

Hacker können mit größerer Wahrscheinlichkeit aus ihren Ransomware-Angriffen auf zuvor infiltrierte Infrastrukturen Kapital schlagen, wenn es ihnen gelingt, die geschäftskritischen Systeme des betroffenen Unternehmens lahmzulegen. Daher kann es nicht überraschen, dass technisch versierte Kriminelle nicht mehr nur IT- und Geschäftsprozesse, sondern auch Kontroll- und Überwachungsprozesse in Produktionsanlagen ins Visier nehmen. Ausdruck dieses neuen Trends sind Malware-Varianten wie SNAKEHOUSE, die so designt sind, dass der eigentliche Schadcode erst nach der zwangsweisen Beendigung zahlreicher Prozesse ausgeführt wird, wovon unter anderem die Industriesoftware von Anbietern wie General Electric und Honeywell betroffen ist. Die von SNAKEHOUSE verwendete Kill-Liste schien auf den ersten Blick speziell auf OT-Umgebungen zugeschnitten zu sein, da unsere anfänglichen Analysen mit automatisierten Tools zunächst nur auf eine relativ kleine Zahl größtenteils betriebstechnischer Prozesse hinwiesen. Allerdings zeigte sich bei der manuellen Extraktion der Liste , dass diese letztlich über 1000 Prozesse umfasst.

Darüber hinaus stellten wir fest, dass es starke Überschneidungen mit den aus anderen Malware-Varianten wie LockerGoga, MegaCortex und Maze extrahierten Kill-Listen gibt. Und in der Tat wurden all diese Malware-Familien in den letzten zwei Jahren nachweislich bei schlagzeilenträchtigen Angriffen auf Industriebetriebe eingesetzt. Bei der ersten von uns identifizierten Kill-Liste handelt es sich um eine Stapelverarbeitungsdatei, die im Zusammenhang mit LockerGoga im Januar 2019 verbreitet wurde. Diese Liste ist weitgehend mit den bei MegaCortex- oder SNAKEHOUSE-Infektionen vorgefundenen Kill-Listen identisch, weicht jedoch in einigen entscheidenden Punkten ab und unterscheidet sich unter anderem dadurch, dass sie den fehlerhaften Eintrag „proficyclient.exe4“ enthält. Das Fehlen dieser Abweichung in SNAKEHOUSE und MegaCortex könnte darauf hindeuten, dass die Entwickler dieser Malware-Varianten den Fehler bemerkten und korrigierten, als sie die Liste der zu beendenden OT-Prozesse aus LockerGoga kopierten, oder dass der Programmierer von LockerGoga beim Import der Prozesse aus einer hypothetischen gemeinsamen Quelle im Darknet unachtsam war.


Abbildung 2: abweichende Schreibweise – der Eintrag „proficyclient.exe“ in den Kill-Listen von LockerGoga (links) und SNAKEHOUS (rechts)

Auch wenn es letztlich nur eine untergeordnete Rolle spielt, welche Ransomware-Familie zuerst OT-Prozesse in die eigene Kill-Liste aufgenommen hat, woher die Entwickler und Programmierer der einzelnen Malware-Varianten ihre Listen bezogen haben und ob die Ähnlichkeiten zwischen den einzelnen Listen eventuell nur das Produkt ähnlicher Ergebnisse bei der Ausspähung der Prozesse in verschiedenen Zielumgebungen sind, ist das Vorhandensein einer in allen genannten Fällen weitgehend einheitlichen Liste doch durchaus bemerkenswert. Denn diese Liste eröffnet finanziell motivierten Hackergruppen die Möglichkeit zur Sabotage von OT-Systemen und wird dadurch zum Fanal für weitere Angriffe auf industrielle Softwarelösungen und Technologien, bei denen die Kriminellen ihre Kenntnisse über OT-Umgebungen und das Zusammenspiel von IT- und OT-Infrastrukturen weiter ausbauen können.

Ransomware-Infektionen von IT- und OT-Systemen haben in der jüngsten Zeit zu Beeinträchtigungen der industriellen Produktion geführt

Getreu ihrer neuen Strategie ist es kriminellen Angreifern bereits verschiedentlich gelungen, Malware nach der erfolgreichen Infiltration einer Unternehmensinfrastruktur in IT- oder OT-Systeme einzuschleusen, um industrielle Produktionsprozesse zu stören. Bei diesen Ransomware-Angriffen wurden auf Servern und Computern gespeicherte Daten verschlüsselt, was die Funktionstüchtigkeit der zur Steuerung und Überwachung der Produktion genutzten OT-Netzwerke beeinträchtigte. Die hieraus resultierenden Ausfälle und Verzögerungen bei der Bereitstellung von Produkten und Services zogen langfristige Verluste, verpasste Geschäftschancen, Geldstrafen und Imageschäden nach sich und verursachten außerdem hohe Kosten für Incident-Response-Einsätze und eventuelle Lösegeldzahlungen. Dazu kommen eventuell noch negative Auswirkungen auf das gesellschaftliche Gemeinwohl, wenn Unternehmen aus der Versorgungsbranche oder dem öffentlichen Sektor von Unterbrechungen betroffen sind.

Der wohl bekannteste derartige Vorfall ereignete sich im März 2019, als das Prozessmanagementsystem des Unternehmens Norsk Hydro infolge einer Infektion des IT-Netzwerks zusammenbrach und die Einstellung des automatisierten Betriebs an verschiedenen Standorten erzwang. Hier unterbrach die eingesetzte Ransomware unter anderem den Informations- und Datenfluss zwischen den IT-Systemen für das Ressourcenmanagement in der gesamten Produktionskette. Dadurch wurde der Zugriff auf Produktbestandslisten unmöglich, sodass die Mitarbeiter die Verwaltung von mehr als 6500 Lagereinheiten und 4000 Regalen per Hand erledigen mussten. Ähnliche Beobachtungen machten die Experten von FireEye Mandiant, die bei einem Incident-Response-Einsatz feststellten, dass die Angreifer den Trojaner TrickBot nutzten, um die Ransomware Ryuk in die IT-Infrastruktur eines Herstellers von Ölbohrinseln einzuschleusen. In diesem Fall sorgte die über interne Netzwerke fortschreitende Infektion für Störungen der von Oracle bereitgestellten ERP-Software, die sowohl zeitweise Ausfälle der Online-Präsenz des Unternehmens als auch Produktionseinbußen nach sich zogen.

Derlei Folgen sind bei allen Angriffen zu erwarten, bei denen die Benutzerschnittstellen von Maschinen oder Anlagen sowie industrielle Steuer- und Datenerfassungssysteme (Supervisory Control and Data Acquisition, SCADA), Engineering-Workstations und andere IT-basierte Ressourcen in OT-Netzwerken mit Ransomware infiziert werden. Denn viele dieser Technologien nutzen gängige Software und Standardbetriebssysteme, die für verschiedenste Bedrohungen anfällig sind. Dem Team von Mandiant Intelligence ist mindestens ein Vorfall bekannt, bei dem eine Industrieanlage wegen eines massiven Ransomware-Angriffs vorübergehend stillgelegt werden musste. Da die Infrastruktur des betreffenden Werks nicht ausreichend segmentiert war, konnte sich die Malware vom Unternehmensnetzwerk auf das OT-Netzwerk ausbreiten, wo sie zahlreiche Server, Benutzerschnittstellen, Workstations und Backups verschlüsselte. Der Produktionsbetrieb kam erst wieder in Gang, nachdem das Unternehmen mit großem Aufwand teils jahrzehntealte Backups von verschiedenen Anbietern angefordert hatte.

Ein weiteres, jüngeres Beispiel vom Februar 2020 findet sich in der von der Cybersecurity Infrastructure and Security Agency (CISA) veröffentlichten Sicherheitswarnung AA20-049A, in der ein Hackereinbruch mit anschließendem Ransomware-Einsatz gegen die Kontroll- und Datenübertragungssysteme im OT-Netzwerk einer Erdgasverdichterstation beschrieben wird. Wie dem Bericht zu entnehmen ist, waren hier Benutzeroberflächen, Datenerfassungssysteme und Polling-Server betroffen, was die Funktionstüchtigkeit der Station und die Kontrollmöglichkeiten der Betriebsingenieure stark einschränkte. In der Folge musste die Anlage kontrolliert heruntergefahren und für zwei komplette Tage außer Betrieb genommen werden.

Zur Abwehr von Ransomware-Angriffen sind effektive Sicherheitsmechanismen in IT- und OT-Umgebungen erforderlich

Viele auf den Einsatz von Ransomware spezialisierte Angreifer sind zu einem hochgradig effektiven kriminellen Geschäftsmodell übergegangen, das auf die Verursachung möglichst kostspieliger Betriebsstörungen abzielt. Deshalb fordern wir alle Unternehmen auf, die Sicherheit und Risiken ihrer industriellen Produktionsanlagen auch vor dem Hintergrund der neuesten Welle von Ransomware-Angriffen zu bewerten. Des Weiteren kann durch die Beachtung der unten aufgeführten Empfehlungen der allgemeine Schutz gegen Ransomware und andere Bedrohungen der Betriebsprozesse (wie beispielsweise Krypto-Mining-Malware) gestärkt werden. Diese Ratschläge gelten ungeachtet der Tatsache, dass jedes Unternehmen mit spezifischen Herausforderungen konfrontiert ist.

Wenn Sie maßgeschneiderte Services und nützliche Bedrohungsdaten zum Schutz Ihrer IT- und OT-Umgebungen benötigen, sollten Sie die Beratungsdienste von Mandiant sowie die FireEye-Services Managed Defense und Threat Intelligence in Erwägung ziehen.

  • Führen Sie Planübungen und/oder Red-Team-Operationen durch, um die Effektivität Ihrer Sicherheitssysteme und -prozesse bei der Abwehr von Ransomware zu evaluieren. Dabei sollten Sie vor allem Angriffsszenarien wählen, die nicht schwerpunktmäßig auf Produktionsumgebungen fokussiert sind und gut darüber Auskunft geben, wie gut (oder schlecht) Ihr Incident-Response-Team zur Erkennung, Untersuchung und Bekämpfung eines solchen Angriffs sowie zur Wiederherstellung des Normalbetriebs in der Lage ist. Außerdem empfiehlt es sich, die Anforderungen an die Wiederherstellungsprozesse im Lichte der Ergebnisse der Übungen zu überarbeiten. Generell ist davon auszugehen, dass das wiederholte Durchspielen verschiedener Bedrohungsszenarien das Sicherheitsbewusstsein der Mitarbeiter und die Reaktionsfähigkeit des Unternehmens insgesamt stärkt.
  • Analysieren Sie sämtliche Unternehmensabläufe, Geschäftsprozesse und Workflows und identifizieren Sie jeweils die für die Aufrechterhaltung des Betriebs unerlässlichen Ressourcen. Anschließend sollten Sie, wo dies möglich ist, Redundanzen für kritische Systeme mit geringer Ausfalltoleranz einrichten, wobei Art und Umfang von den spezifischen, im Rahmen von Risiko- und Kosten-Nutzen-Analysen zu ermittelnden Anforderungen Ihres Unternehmens abhängen. Hierfür müssen neben den für die jeweiligen Prozesse Verantwortlichen auch alle IT- und OT-Teams einbezogen werden.
  • Isolieren Sie die in der Produktion genutzten Systeme mithilfe einer netzwerk- oder hostbasierten Firewall von den redundanten Ressourcen und stärken Sie deren Schutz durch Härtungsmaßnahmen wie die Deaktivierung von SMB-, RDP- und WMI-Services und anderen oft zur Verbreitung von Ransomware genutzten Diensten. Zusätzlich empfehlen wir die Implementierung von Richtlinien zur Unterbindung unnötiger Peer-to-Peer- und Remote-Verbindungen sowie routinemäßige Überprüfungen aller Systeme mit potenziell zur Verbreitung von Ransomware nutzbaren Services und Protokollen. Auf diese Weise können Sie Ihre Infrastruktur effektiver vor Sicherheitsverletzungen schützen.
  • Bei der Implementierung robuster Backup-Prozesse sollten Sie besondere Maßnahmen zur Sicherstellung der Datenintegrität ergreifen. Kritische Backups müssen offline gespeichert werden oder sollten zumindest nur über ein isoliertes Netzwerk zugänglich sein.
  • Überarbeiten Sie die in Ihren Notfallplänen festgelegten Zeitvorgaben für die Systemwiederherstellung und legen Sie alternative (gegebenenfalls auf manuellen Prozessen basierende) Überbrückungs-Workflows fest. Dies ist besonders wichtig, wenn Ihr Unternehmen kritische Ressourcen nicht oder nur in begrenztem Maße durch Redundanzen sichern kann. Darüber hinaus sollten Sie im Ernstfall darauf achten, sowohl die wiederhergestellten Ressourcen als auch die gesamte Infrastruktur Ihres Unternehmens zu härten, um wiederkehrende Ransomware-Infektionen zu vermeiden.
  • Legen Sie genau fest, wer für die Verwaltung der am OT-Perimeter implementierten Sicherheitsappliances zuständig ist, damit diese Systeme im Notfall schnell unternehmensweit angepasst werden können. Bei der Eindämmung und Bekämpfung eingedrungener Bedrohungen muss die Netzwerksegmentierung durchgängig aufrechterhalten werden.
  • Suchen Sie proaktiv nach Hinweisen auf Hackeraktivitäten in Schnittstellensystemen, die OT- und IT-Umgebungen miteinander verknüpfen. Hierbei handelt es sich um in das Unternehmensnetzwerk eingebundene Workstations und Server, auf denen Standardbetriebssysteme und -protokolle laufen. Diese Systeme dienen zwar nicht der direkten Kontrolle der physischen Produktionsprozesse, werden jedoch häufig von auf Sabotage abzielenden Angreifern infiltriert und eignen sich daher gut als Objekt für vorbeugende Untersuchungen.
  • Halten Sie sich vor Augen, dass jedes Unternehmen über eigene interne Infrastrukturen und Prozesse verfügt und mit spezifischen Anforderungen von Stakeholdern und Kunden konfrontiert ist. Deshalb sollten alle hier vorfindlichen Empfehlungen stets im Kontext der jeweiligen Gegebenheiten betrachtet werden. Beispielsweise ist die effektive Segmentierung des Netzwerks eine äußerst empfehlenswerte Maßnahme, um die Ausbreitung von Ransomware einzudämmen. Doch wenn Ihrem Unternehmen nur ein begrenztes Budget zur Verfügung steht, ist eine Kombination aus redundanten Ressourcen, Host-basierten Firewalls und allgemeinen Härtungsmaßnahmen möglicherweise der Segmentierung mithilfe von Firewall-Appliances vorzuziehen.