Schadcode
19.02.2020, 14:30 Uhr
So gefährlich ist die neue Ekans-Ransomware
Eine neue Ransomware mit dem Namen Ekans treibt ihr Unwesen. Forscher des US-Cybersicherheits-Unternehmens Claroty haben die Funktionsweise der Schadsoftware näher untersucht und geben nun Handlungsempfehlungen zur Vermeidung eines Angriffs.
Nachdem Ende Januar mit Ekans eine neue Art der Ransomware entdeckt wurde, gab es einige Berichte, welche die Eigenschaften der Malware beschrieben. Eines der markantesten Merkmale war laut vielen Nachrichten der direkte Angriff von industriellen Kontrollsystemen (ICS). Neue Erkenntnisse eines Forscherteams des Cybersicherheits-Unternehmens Claroty zeigen jedoch, dass diese Annahme falsch ist. Ein Grund zur Entwarnung sei das allerdings nicht, so die Forscher. Durch die steigende Angleichung von IT- und industriellen Netzwerken käme es zur verstärkten Gefahr von Kollateralschäden durch das Übergreifen auf Produktionsstätten (Spillover-Effekt).
Anders als ICS-spezifische Schadsoftware wie Industroyer oder BlackEnergy kann Ekans nicht direkt mit ICS-Geräten kommunizieren, da die nötigen Kommunikationsprotokolle fehlen. Die Häufigkeit von ICS-Prozessen in der Ekans-Kill-Liste legt jedoch die Schlussfolgerung nahe, dass die Ziele der Ransomware genau diese ICS-Vorgänge sind. Ekans will diese allerdings nicht ohne Umweg unterbinden, sondern arbeitet mit einem anderen Ansatz. Zuerst wird das gesamte IT-Netzwerk eines Unternehmens angegriffen, die anschliessende Störung der ICS-Netzwerke ist nur als Nebenprodukt der Ekans-Ransomware zu begreifen und entsteht über die Schnittstellen zwischen IT- und OT-Netzwerk.
Die Forscher mutmassen, Ekans könnte ein Vorbote zukünftiger Ransomware sein. Während aktuell der direkte Angriff von ICS-Netzwerken kaum möglich ist, kann eine Gefährdung der OT-Netzwerke nicht nur Daten, sondern auch die Sicherheit von Menschen bedrohen. In nächster Zeit ist eine derartige Schadsoftware eine realistische Bedrohung für die Sicherheit von Unternehmen.
Tipps der Experten
Das Wichtigste gegen Ekans oder andere Ransomware seien proaktive Schritte zur Risikominimierung. Um erfolgreiche Angriffe durch Ransomware zu vermeiden, geben die Experten einige hilfreiche Tipps.
- Netzwerksegmentierung: Um das Ausmass eines etwaigen Eingriffs zu verringern, ist die Einschränkung der Kommunikation zwischen verschiedenen Netzwerksegmenten je nach Kritikalität und Nutzbarkeit ein essenzielles Element.
- Datensicherheit: Regelmässige Backups und eine sichere Aufbewahrung sind unerlässlich.
- Software- und Firmware-Updates: Regelmässige Updates der Betriebssysteme, Plugins und Softwares sind unverzichtbar, wird Ransomware nicht selten über Exploit-Kits verteilt.
- Nutzer-Richtlinien: Das Installieren von Anwendungen und die Änderung von Benutzerrechten darf nur von vertrauenswürdigen Nutzern erfolgen. Bei der Vergabe sollten Unternehmen nach dem Least-Privilege-Ansatz verfahren.
- Netzwerk-Management: Auch die Konfiguration von Firewalls, die Überwachung unbenutzter Ports sowie das Blockieren nicht verwendeter Protokolle, sollten Standard sein.
Ferner müssen die Daten wiederhergestellt werden. Hierzu ist es erforderlich die letzten sauberen Backup-Dateien zu laden. Bei Produktionsdatenbanken oder industriellen Anwendungen sollte zusätzlich eine virtuelle Maschine mithilfe einer Backup-Lösung genutzt werden. Zeitgleich ist es ratsam Vorkehrungen zu treffen, um die Folgen für Geschäftsprozesse zu reduzieren.
Autor(in)
Patrick
Preis