Zehn Länder, die am meisten von Malware auf ICS-Endpunkten betroffen sind

Originalbeitrag von Matsukawa Bakuei, Ryan Flores, Lord Alfred Remorin, Fyodor Yarochkin, Sr. Threat Researchers

Die zunehmende Verflechtung der Bereiche IT und OT in Industrial Control Systems (ICS) fördert zwar die Effizienz, aber macht die Systeme auch anfälliger für Bedrohungen. Unternehmen sollten mögliche Sicherheitsprobleme untersuchen, um eine Kompromittierung zu verhindern. Das Trend Micro-Whitepaper „2020 Report on Threats Affecting ICS Endpoints“ beinhaltet Forschungsergebnisse zu ICS-Endpoints und den Bedrohungen, wie etwa Ransomware, Kryptowährungs-Miner und Legacy-Schädlinge. Aus diesen Erkenntnissen haben wir eine Liste der zehn Länder mit den meisten Malware- und Grayware-Erkennungen (wie potenziell unerwünschte Anwendungen, Adware und Hacking-Tools) zusammengestellt.

Bild 1. Prozentualer Anteil der ICS mit Malware- und Grayware-Erkennungen in den zehn am stärksten betroffenen Ländern

Im Folgenden finden Sie einige wichtige Erkenntnisse über bestimmte Arten von Bedrohungen:

Bild 2. Aufschlüsselung der erkannten Bedrohungstypen (Quelle: Trend Micro™ Smart Protection Network™ Infrastructure)

  • In den USA war die Zahl der von Ransomware betroffenen Organisationen am höchsten.
  • In Indien fanden wir die meisten Kryptowährungs-Miner, Equated-Malware und WannaCry-Ransomware.
  • Infektionen mit Legacy-Malware (insbesondere Würmer in Wechsellaufwerken und dateiinfizierende Viren) wurden vor allem in Indien, China, den USA und Taiwan festgestellt.
  • In Japan entdeckten wir die höchste Zahl an Emotet-Infektionen. Zwar ist Emotet dafür bekannt, weitere Schädlinge wie Ryuk, Trickbot oder Qakbot abzulegen, doch die Daten zeigen keine weitere Installation von Malware.
  • ICS-Systeme in Deutschland wiesen die meiste Grayware auf, vor allem aufgrund der Bündelung von Adware mit Software-Tools.

Ransomware

Wie bereits erwähnt, fanden wir in ICS-Systemen in den USA am häufigsten Ransomware, gefolgt von Indien, Taiwan und Spanien.

Bild 3. Aufschlüsselung nach Ländern der  Ransomware-Erkennungen für ICS 2020 (Quelle: Trend Micro™ Smart Protection Network™ Infrastructure)

Betrachtet man jedoch den prozentualen Anteil der Organisationen, deren ICS von Ransomware betroffen waren, wies Vietnam die meisten Entdeckungen auf, gefolgt von Spanien und Mexiko.

Kryptowährungs-Miner

In Indien fanden wir die meisten Miner, wobei MALXMR die häufigste Variante darstellte. Von den Ländern, in denen MALXMR auf ICS-Endpunkten läuft, entfallen mehr als ein Drittel der Erkennungen auf Indien. Dies zeigt, dass ICS-Software in dem Land für EternalBlue anfällig ist. Diese Daten werden durch den hohen Prozentsatz an Erkennungen für WannaCry-Ransomware in derselben Region gestützt. Besagte Ransomware nutzt ebenfalls EternalBlue aus.

Bild 4. MALXMR-Verteilung nach Ländern und Organisationen (Quelle: Trend Micro™ Smart Protection Network™ Infrastructure)

Bild 5. WannaCry-Verteilung nach Ländern und Organisationen (Quelle: Trend Micro™ Smart Protection Network™ Infrastructure)

Empfehlungen für den Schutz von ICS vor diesen Bedrohungen

Um ICS vor Bedrohungen zu schützen, müssen Unternehmen ihre Systeme regelmäßig patchen und aktualisieren. Obwohl dies vor allem bei älteren Systemen ein langwieriger Prozess sein kann, ist er notwendig, um Bedrohungen abzuwehren, bevor sie eindringen und ernsthaften Schaden anrichten können. Wenn das Patchen keine Option ist, können Unternehmen auch auf virtuelle Patching-Technologien zurückgreifen.

Unternehmen können auch Mikrosegmentierung implementieren, um die Sicherheit zu erhöhen, indem der Netzwerkzugriff und die Kommunikation auf die notwendigen Geräte und Protokolle beschränkt werden. Die Einhaltung des Prinzips der geringsten Privilegien, bei dem Mitarbeiter nur genau die Zugriffsrechte erhalten, die sie benötigen, und nicht mehr, würde ebenfalls dazu beitragen, die mögliche Verbreitung von Bedrohungen einzudämmen.

Sicherheitslösungen wie TXOne StellarProtectTM können ebenfalls hilfreich sein. Es geht dabei um eine Anwendungskontroll-Software, die nur bekannte, gutartige Executables und Prozesse auf einem Endpunkt zur Ausführung zulässt. Diese Lösung bietet über maschinelles Lernen und die ICS-Vertrauensbasis einen Pattern-losen Schutz vor bekannter und unbekannter Malware.

Weitere Empfehlungen umfasst der Report „2020 Report on Threats Affecting ICS Endpoints“.

Haftungsausschluss: Bitte beachten Sie, dass diese Erkennungszahlen aus der Abdeckung der weltweit verteilten SPN-Sensoren stammen, und die ist nicht vollständig. Diese regionalen Ranglisten und Zahlen können nicht frei von solchen durch den Marktanteil beeinflussten Verteilungsverzerrungen sein.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.