Erpressungstrojaner Ekans legt "nebenbei" Industriesteuerungssysteme lahm

  • Allgemein

  • mad.de
  • 825 Aufrufe 2 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Erpressungstrojaner Ekans legt "nebenbei" Industriesteuerungssysteme lahm

    Sicherheitsforscher sind auf eine Ransomware gestoßen, die neben dem Verschlüsseln von Dateien auch Prozesse von industriellen Steueranlagen deaktivieren kann.

    Betreiber von Industriesteuerungssystemen (ICS) sollten die Sicherheit ihrer Anlagen besonders gut prüfen. Sicherheitsforscher von Dragos sind auf den Verschlüsselungstrojaner Ekans gestoßen, der nicht nur Dateien gefangen nimmt und Lösegeld erpresst, sondern auch ICS-Anlagen im schlimmsten Fall lahmlegen kann.

    In einem ausführlichen Bericht über den Schädling finden sich keine Hinweise auf eine derzeitig groß angelegte Ekans-Kampagne. Die Sicherheitsforscher haben den Trojaner eigenen Angaben zufolge im Dezember 2019 das erste Mal erblickt. Im Kern verhält sich die Ransomware wie gewohnt und verschlüsselt Dateien. Den Schlüssel wollen die Erpresser erst nach der Zahlung eines Lösegelds rausrücken.

    Erpressung auf einem neuen Niveau
    Bei einer näheren Untersuchung stießen die Sicherheitsforscher aber auf eine Kill-Liste mit 64 Methoden, um bestimmte ICS-Prozesse lahmzulegen. Das mutet den Forschern zufolge derzeit noch rudimentär an, wird in Zukunft aber mit hoher Wahrscheinlichkeit noch ausgebaut, spekulieren sie. Beispielsweise die ähnlich arbeitende Ransomware Megacortex soll rund 1000 derartiger Module mitbringen.

    Ist eine Attacke erfolgreich, könnten Angreifer durchaus die Kontrolle über bestimmte Teile von Industriesteuerungssystemen übernehmen. Die Freigabe von Steueranlagen könnten sie als weiteres Druckmittel für die Zahlung eines Lösegelds einsetzen.

    Offensichtlich derzeit noch kein Fall bekannt
    Würde Ekans in kritische Infrastrukturen eindringen, könnte auch die Bevölkerung gefährdet sein. In ihrem Bericht skizzieren die Sicherheitsforscher aber keinen konkreten Fall. Im Beitrag zur Ransomware finden Betreiber von ICS-Anlagen weitere Fakten zum Schädling und wie man sich gegen ihn rüsten kann. Neben dem obligatorischen Backup müssen Admins in diesem Spezialfall darauf achten, Steuerungssysteme effektiv abzuschotten.

    Quelle: Erpressungstrojaner Ekans legt "nebenbei" Industriesteuerungssysteme lahm | heise online

  • Schadcode 19.02.2020, 07:51 Uhr
    So gefährlich ist die neue Ekans-Ransomware
    Eine neue Ransomware mit dem Namen Ekans treibt ihr Unwesen. Forscher des US-Cybersicherheits-Unternehmens Claroty haben die Funktionsweise der Schadsoftware näher untersucht und geben nun Handlungsempfehlungen zur Vermeidung eines Angriffs heraus.

    Nachdem Ende Januar mit Ekans eine neue Art der Ransomware entdeckt wurde, gab es einige Berichte, welche die Eigenschaften der Malware beschrieben. Eines der markantesten Merkmale war laut vielen Nachrichten der direkte Angriff von industriellen Kontrollsystemen (ICS). Neue Erkenntnisse eines Forscherteams des Cybersicherheits-Unternehmens Claroty zeigen jedoch, dass diese Annahme falsch ist. Ein Grund zur Entwarnung sei das allerdings nicht, so die Forscher. Durch die steigende Angleichung von IT- und industriellen Netzwerken käme es zur verstärkten Gefahr von Kollateralschäden durch das Übergreifen auf Produktionsstätten (Spillover-Effekt).

    Anders als ICS-spezifische Schadsoftware wie Industroyer oder BlackEnergy kann Ekans nicht direkt mit ICS-Geräten kommunizieren, da die nötigen Kommunikationsprotokolle fehlen. Die Häufigkeit von ICS-Prozessen in der Ekans-Kill-Liste legt jedoch die Schlussfolgerung nahe, dass die Ziele der Ransomware genau diese ICS-Vorgänge sind. Ekans will diese allerdings nicht ohne Umweg unterbinden, sondern arbeitet mit einem anderen Ansatz. Zuerst wird das gesamte IT-Netzwerk eines Unternehmens angegriffen, die anschliessende Störung der ICS-Netzwerke ist nur als Nebenprodukt der Ekans-Ransomware zu begreifen und entsteht über die Schnittstellen zwischen IT- und OT-Netzwerk.

    Die Forscher mutmassen, Ekans könnte ein Vorbote zukünftiger Ransomware sein. Während aktuell der direkte Angriff von ICS-Netzwerken kaum möglich ist, kann eine Gefährdung der OT-Netzwerke nicht nur Daten, sondern auch die Sicherheit von Menschen bedrohen. In nächster Zeit ist eine derartige Schadsoftware eine realistische Bedrohung für die Sicherheit von Unternehmen.

    Tipps der Experten

    Das Wichtigste gegen Ekans oder andere Ransomware seien proaktive Schritte zur Risikominimierung. Um erfolgreiche Angriffe durch Ransomware zu vermeiden, geben die Experten einige hilfreiche Tipps.
    • Netzwerksegmentierung: Um das Ausmass eines etwaigen Eingriffs zu verringern, ist die Einschränkung der Kommunikation zwischen verschiedenen Netzwerksegmenten je nach Kritikalität und Nutzbarkeit ein essenzielles Element.

    • Datensicherheit: Regelmässige Backups und eine sichere Aufbewahrung sind unerlässlich.

    • Software- und Firmware-Updates: Regelmässige Updates der Betriebssysteme, Plugins und Softwares sind unverzichtbar, wird Ransomware nicht selten über Exploit-Kits verteilt.

    • Nutzer-Richtlinien: Das Installieren von Anwendungen und die Änderung von Benutzerrechten darf nur von vertrauenswürdigen Nutzern erfolgen. Bei der Vergabe sollten Unternehmen nach dem Least-Privilege-Ansatz verfahren.

    • Netzwerk-Management: Auch die Konfiguration von Firewalls, die Überwachung unbenutzter Ports sowie das Blockieren nicht verwendeter Protokolle, sollten Standard sein.
    Selbst im Falle einer Infektion gibt es noch Handlungsmöglichkeiten für Unternehmen. Der Schaden sollte grundsätzlich so gering wie möglich gehalten werden. Infizierte Assets müssen hierzu sofort vom restlichen Netzwerk getrennt werden. Ausserdem muss das Unternehmen feststellen, wann die Ransomware in das System eingedrungen ist. Im Normalfall vergehen zwischen dem ursprünglichen Angriff und der späteren Lösegeldforderung mehrere Tage oder Wochen. Neben diesen technischen Massnahmen müssen auch die Mitarbeiter unterrichtet werden, um dem Vorfallreaktionsplan zu folgen.

    Ferner müssen die Daten wiederhergestellt werden. Hierzu ist es erforderlich die letzten sauberen Backup-Dateien zu laden. Bei Produktionsdatenbanken oder industriellen Anwendungen sollte zusätzlich eine virtuelle Maschine mithilfe einer Backup-Lösung genutzt werden. Zeitgleich ist es ratsam Vorkehrungen zu treffen, um die Folgen für Geschäftsprozesse zu reduzieren.


    Quelle: So gefährlich ist die neue Ekans-Ransomware - onlinepc.ch

  • Ransomware EKANS nimmt Industriekontrollsysteme ins Visier

    Die Schadsoftware funktioniert trotz zahlreicher Programmierfehler. Eine neue Variante verschlüsselt nicht nur Dateien, sie verändert auch die Einstellungen von Industriekontrollsystemen. EKANS ist zudem auf bestimmte Ziele ausgerichtet und greift Opfer nicht wahllos an.

    Forscher von FortiGuard Labs haben die Ransomware EKANS analysiert, die auf Industriekontrollsysteme ausgerichtet ist. Sie befällt ausschließlich Windows-basierte Systeme und ist in der Lage, Dateien zu verschlüsseln. Seit Juni ist zudem eine weiterentwickelte Version im Umlauf, die sogar die Firewalls von infizierten Systemen abschalten kann.

    Das erste Muster, das den Forschern Ben Hunter und Fred Gutierrez in die Hände fiel, wurde im Mai kompiliert. In dessen Code fanden sie zahlreiche Fehler – insgesamt mehr als 1200 Strings. Auf die Funktion der Erpressersoftware hatten sie jedoch keinen Einfluss.

    Ihrer Analyse zufolge sucht sich EKANS seine Opfer gezielt aus. Dazu versucht die Malware, die Domain des infizierten Systems aufzulösen und mit einer Liste von IP-Adressen abzugleichen. Sollte das Ziel dabei nicht bestätigt wird, bricht die Ransomware ihre Routinen ab.

    Wurde jedoch das richtige Ziel angegriffen, such die Ransomware nach Domänencontrollern. Sie verschlüsselt schließlich Dateien und zeigt auch eine Lösegeldforderung an. Ob die Hintermänner nach erfolgter Zahlung tatsächlich einen Entschlüsselungsschlüssel bereitstellen beziehungsweise oder dieser dann auch funktioniert, ist nicht bekannt.

    Das zweite, im Juni kompilierte Muster, bietet zusätzliche Funktionen. Es ist offenbar in der Lage, Einstellungen des Industriekontrollsystems zu verändern. Unter anderem kann eine Firewall abgeschaltet werden. Die Forscher vermuten, dass auf diese Art Sicherheitsanwendungen und andere Schutzmaßnahmen erkannt und blockiert werden sollen.

    Dateien macht EKANS mit einer RSA-Verschlüsselung unbrauchbar. Darüber hinaus soll die Erpressersoftware beliebige Prozesse beenden, die seine eigenen Aktivitäten behindern könnten. Zudem versucht EKANS, Schattenkopien zu löschen, um eine Wiederherstellung von Daten ohne Schlüssel zu erschweren.

    Schon im März hatte FireEye vor einer Zunahme von Schadprogrammen und Hacking-Tools für Industriekontrollsysteme gewarnt. Die Mehrheit der bekannten ICS-Schädlinge ist demnach nicht auf bestimmte Hersteller beschränkt. Es soll aber auch Varianten geben, die nur Produkte eines spezifischen Anbieters befallen.

    Quelle: Ransomware EKANS nimmt Industriekontrollsysteme ins Visier | ZDNet.de