IoT und Ransomware – eine gefährliche Kombination

 

Originalbeitrag von Trend Micro

Ransomware im Zusammenhang mit dem Internet der Dinge (IoT) ist keine neue Thematik. Doch nun, da eine andere Art von Ransomware-Familien auf Unternehmen abzielt und die IoT-Nutzung im Industriesektor weit verbreitet ist, sollte die Entwicklung erneut untersucht und bewertet werden. Die Einbeziehung des IoT in Ransomware-Kampagnen kann zudem die Auswirkungen der Attacken aufgrund der kaskadenartigen Folgen für die Supply Chain verstärken, insbesondere im Fall von kritischen Infrastrukturen. Darüber hinaus erweitern IoT-Geräte die Angriffsfläche, für die Ransomware eingesetzt werden kann. Dies sind Bedingungen, die Unterbrechungen verschlimmern können.

Ransomware-Betreiber wie DarkSide haben es bereits auf kritische Infrastrukturen und hochrangige Ziele abgesehen. Es geht dabei um Unternehmen, die zumeist auf Betriebstechnologie (Operational Technology, OT) und industrielle Kontrollsysteme (ICS) angewiesen sind, und das erhöht die Dringlichkeit und den Ernst der Lage bei einem Ransomware-Angriff. Angesichts der ernsten Bedrohung für OT-Anlagen, hat die US-Behörde für Cybersicherheit und Infrastruktursicherheit (Cybersecurity and Infrastructure Security Agency, CISA) ein Merkblatt herausgegeben, um Unternehmen über diese Angriffe zu informieren.

Ransomware zielt nur selten direkt auf OT-Systeme. Die EKANS Ransomware ist eines der seltenen Beispiele für eine Erpressungssoftware, die in der Lage ist, ICS-Prozesse zu stoppen. Die meisten Familien wie Ryuk, REvil und Conti zielen auf IT-Systeme. Eingriffe in das IT-Netz können jedoch das OT-Netz stören und beeinträchtigen, auch wenn es nicht direkt mit Ransomware infiziert wurde. Dies war der Fall bei der US-Benzin-Pipeline Colonial Pipeline, die ihre Systeme abschalten musste, um zu verhindern, dass die Ransomware ihr Industrienetzwerk infiziert. Weitere indirekte Auswirkungen von Ransomware auf OT-Systeme können der Verlust der Visibilität und der Diebstahl von Betriebsdaten sein.

Ransomware in weiteren Branchen

Störung ist auch das Hauptziel von Ransomware-Angriffen in anderen Branchen, die häufig ebenfalls bis zu einem gewissen Grad auf IoT-Geräte und -Systeme angewiesen sind. Im Trend Micro Halbjahres-Roundup berichteten wir, dass das verarbeitende Gewerbe, das Gesundheitswesen sowie die Lebensmittel- und Getränkeindustrie zu den fünf Branchen mit den meisten Ransomware-Vorfällen gehören.

Die Gesundheitsbranche sah sich Angriffen von Ransomware-Familien wie Ryuk und Conti ausgesetzt, die den Druck auf das ohnehin schon durch die Pandemie strapazierte Gesundheitswesen weiter erhöhten. Es ist schwer festzustellen, ob diese jüngsten Angriffe einen direkten Einfluss auf medizinische Geräte hatten, aber Ransomware hat schon früher medizinische Geräte infiziert, denn diese vernetzten Geräte können bei unsachgemäßer Handhabung als Einfallstor für Angriffe dienen. Zudem weisen sie Schwachstellen und Fehler auf, die sie anfällig für Malware-Infektionen machen.

Auch die Lebensmittelbranche hat über IoT-Tools und –Systeme die Produktion optimiert. Einem FBI Advisory zufolge zielten Ransomware-Angriffe auf diesen Sektor, wobei diese nicht nur für die Opfer teuer waren, sondern auch die Supply Chain betrafen und die Preise für Verbraucher in die Höhe trieben.

Router und weitere IoT-Geräte als Eintrittspunkte

Das IoT kann die Angriffsfläche, die ein Unternehmen absichern muss, ganz neu definieren. Dies gilt auch für alltägliche IoT-Geräte wie smarte Appliances und Router. Einige IoT-Geräte, insbesondere Router, werden nach ihrer Einrichtung oft im Hintergrund vergessen und nie wieder überprüft, es sei denn, es läuft etwas schief. Sie können jedoch ausgenutzt werden, um Ransomware in ein System einzuschleusen. Botnet-Malware, ein bekanntes Problem für IoT-Geräte, kann auch für die Verbreitung anderer Malware genutzt werden. Bei unserer Untersuchung von IoT-Botnets stellten wir fest, dass Router auch nach zweijähriger Inaktivität noch mit einem Botnet infiziert sein können, was verdeutlicht, wie scheinbar einfache Geräte als Einfallstor für kritische Angriffe dienen können.

Bei einem IoT Ransomware-Angriff kontrollieren oder sperren die kriminellen Akteure eines oder mehrere Geräte, um Lösegeld zu erpressen. Ein Beispiel für eine Ransomware-Variante, die auf ein bestimmtes IoT-Gerät übergegangen ist, ist FLocker, eine mobile Android-Ransomware mit Bildschirmsperre, die auf Smart-TVs zielte. Zwei getrennte Untersuchungen testeten auch Ransomware-Angriffe auf ein intelligentes Thermostat und eine Kaffeemaschine. Derartige Angriffe haben in den letzten Jahren allerdings keine großen Fortschritte gemacht.

Die meisten Ransomware-Angriffe betreffen NAS-Geräte und Router, was für Verbraucher ein Problem darstellen kann. Im Allgemeinen stellen diese Angriffe noch keine große Bedrohung für Unternehmen dar, da Bedrohungsakteure dabei nur wenig zu gewinnen haben.

Herausforderungen für die IoT-Sicherheit

Unternehmen, die von Ransomware-Angriffen betroffen sind, können erhebliche finanzielle Verluste erleiden, nicht nur durch die Zahlung des Lösegelds, sondern auch durch Betriebsstörungen und Sanierungskosten. Ransomware-Kampagnen beinhalten mittlerweile eine Datendiebstahlskomponente für doppelte Erpressungsschemata, bei denen die Opfer Gefahr laufen, geschäftskritische Daten zu verlieren und einen Imageschaden zu erleiden.

Um sich gegen Ransomware zu schützen, müssen Unternehmen die Sicherheitslücken schließen, die kritischen Angriffen Tür und Tor öffnen können. Im Bereich des IoT gibt es unter anderem folgende Sicherheitsfragen zu bedenken:

  • Schwachstellen in IoT-Geräten. In IoT-Geräten und -Systemen werden ständig Schwachstellen entdeckt. Leider nutzen Ransomware-Angriffe diese Schwachstellen, um andere Geräte zu infizieren und sich darin zu verbreiten.
  • Schnelles Ausbreiten des IoT und mangelhafte Geräteverwaltung. Mit dem Ausbruch der Pandemie gingen die Investitionen in das IoT zurück, doch Berichten zufolge steigt das Interesse nun wieder an. Die schnelle Einführung von IoT-Geräten könnte jedoch dazu führen, dass Unternehmen mit Problemen bei der Geräteverwaltung und der zunehmenden Komplexität ihrer IoT-Umgebungen zu kämpfen haben.
  • Schwache Sicherheit für IoT-Geräte. Selbst wenn IoT-Geräte im Büro gesichert sind, haben Unternehmen möglicherweise Probleme, persönliche Geräte wie Smart Watches, E-Reader und Spielkonsolen zu berücksichtigen. Die Realität der zu Hause eingerichteten Arbeitsplätze zeigt, wie wichtig es ist, private Netzwerke und Geräte zu sichern.
  • Altsysteme, die mit dem IoT verbunden sind. Altsysteme stellen ein Sicherheitsrisiko dar, da für diese Systeme und Geräte möglicherweise keine Patches mehr veröffentlicht werden, selbst wenn sie noch in Betrieb sind und für kritische Vorgänge verwendet werden.
  • Zielgerichtete Funktionsweise von Ransomware-Familien. Ransomware-Kampagnen gehen jetzt gezielter vor. Dies hat sich für Unternehmen als gefährlich erwiesen, da die Angriffe auf ihre Schwachstellen zugeschnitten sind. Zudem wird Ransomware immer häufiger auf kritische Infrastrukturen angesetzt.

Schutz für IoT-Umgebungen gegen Ransomware

Der beste Weg, mit Ransomware bezüglich des IoTs umzugehen, ist sie zu verhindern. Wie alle anderen Bedrohungsakteure wählen auch deren Betreiber eher den Weg des geringsten Widerstands, um ihre Ziele zu erreichen. Unternehmen müssen sich mit möglichen Einfallspunkten für die Angriffe befassen und ihre IoT-Umgebungen angemessen absichern.

Im Folgenden finden Sie Schritte, die Unternehmen zur Abwehr von Ransomware-Angriffen unternehmen können:

  • Updaten und Patchen. Wenn Systeme und Geräte auf dem neuesten Stand gehalten werden, können Schwachstellen, die Angreifer ausnutzen, ausgeschaltet werden.
  • Einsatz sicherer Authentifizierungsstrategien. Viele Angriffe starten mit gestohlenen Anmeldeinformationen. Der Zugriff auf Konten lässt sich über Optionen wie Multifaktor-Authentifizierung verhindern.
  • Durchsetzung des Prinzips der geringsten Privilegien. Damit werden Nutzer daran gehindert, bestimmte Programme auszuführen, wie etwa Hacking-Tools oder unerwünschte Anwendungen, die von Ransomware genutzt werden.
  • Regelmäßige Sicherung von Dateien. Trotz der aktuellen Entwicklungen bei der Erpressersoftware bieten Backups eine Absicherung bei Verschlüsselung oder gegen weitere Cyberbedrohungen.
  • Gewährleistung eines starken Netzwerkschutzes. Eine starker Netzwerkschutz liefert eine zusätzliche Verteidigungsschicht gegen Bedrohungen, die mögliche Fehler in mehreren Geräten nutzen.
  • Überwachung des Netzverkehrs. Mit den Tools zur Überwachung des Netzwerkverkehrs können Unternehmen grundlegende Aktivitäten erkennen und Anomalien identifizieren, die auf ein mögliches Eindringen hindeuten.
  • Priorisierung der Sicherheit vor Konnektivität. Das Hinzufügen von Geräten kann die Komplexität des Netzes exponentiell erhöhen und die Angriffsfläche vergrößern. Deshalb ist es wichtig, die Risiken des Anschlusses neuer Geräte an das Netzwerk zu verstehen.
  • Förderung der gemeinsamen Verantwortung für das IoT. Unternehmen müssen sich für eine Sicherheitskultur aussprechen, insbesondere im Hinblick auf das IoT. Das Bewusstsein für die Bedrohungen, die auf vernetzte Geräte abzielen, kann dazu beitragen, dass Mitarbeiter gezielte Schritte zur Sicherung persönlicher Geräte unternehmen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.