Forscher des Cybersicherheitsanbieters Dragos haben erstmals eine Erpressersoftware entdeckt, die speziell für Industriekontrollsysteme entwickelt wurde. Die als Snake oder Ekans bezeichnete Ransomware ist mindestens seit Dezember 2019 im Umlauf und wurde für Windows basierte Systeme erstellt.
Angriffe auf Industriekontrollsysteme mit Schadsoftware sind nicht neu. Sie wurden bisher aber überwiegend staatlich kontrollierten Hackern zu geschrieben. Ekans soll indes die Schöpfung von Cyberkriminellen sein. Die Forscher stufen die Ransomware als „einzigartiges und spezifisches Risiko“ für Industriebetriebe ein.
Unter anderem fanden die Forscher in der Malware eine Liste von Befehlen und Prozessen, die zu Funktionen von Industriekontrollsystemen gehören, unter anderem mit dem Ziel, diese Funktionen mit einem Ransomware-Angriff zu stoppen. Bisher seien die Fähigkeiten von Elkans in diesem Bereich begrenzt, aber trotzdem „sehr beunruhigend“, das Industriekontrollsysteme erstmals aus rein finanziellen Gründen angegriffen würden.
Wie bei Erpressersoftware üblich werden Dateien verschlüsselt und mit einer neuen Dateiendung versehen. Zudem erhalten die Opfer eine Lösegeldforderung mit einer E-Mail-Adresse, um das in einer Kryptowährung zu zahlende Lösegeld zu verhandeln.
Die Verbreitung der Ransomware erfolgt offenbar über ein zuvor kompromittiertes Netzwerk. Die Forscher gehen zudem davon aus, dass Elkans für spezifische Ziele entwickelt wurde. „Obwohl nicht absichtlich destruktiv, könnten fehlende Zusammenhänge und Probleme mit der Umgebung des Opfers dazu führen, dass Ekans oder ähnliche Malware, die industrielle Prozesse beenden, unbeabsichtigte physische Auswirkungen haben könnten. Die Bereitschaft, diese Möglichkeit zu akzeptieren, ist zutiefst besorgniserregend“, kommentierte Joe Slowik, Principal Adversary Hunter bei Dragos.
Für Spekulationen, wonach Ekans mit dem Iran in Verbindung gebracht wird, fanden die Forscher keine Belege. Die Kampagne folge nicht den strategischen Interessen des Iran.
Betreibern von Industriekontrollsystemen rät Dragos, diese vom restlichen Netzwerk zu trennen, sie regelmäßig zu sichern und die Sicherungen offline zu speichern. Zudem sei es notwendig, bei Risikobewertungen Angriffe auf Industriesysteme zu berücksichtigen, die das Ziel hätten, Geld zu erpressen. „Organisationen müssen sorgfältig daran arbeiten, sowohl ihre Angriffsfläche durch eine bessere Netzwerksegmentierung, verbesserte Zugangs- und Authentifizierungsmechanismen zu reduzieren, als auch die Transparenz von Industrienetzwerken zu erhöhen, um Angriffe zu identifizieren, bevor sie zu ihrem Abschluss kommen“, ergänzte Slowik.
Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Neueste Kommentare
Noch keine Kommentare zu Cyberkriminelle greifen Industriekontrollsysteme mit Ransomware an
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.