Globale Ransomware-Welle fordert Opfer in der US-Ölpipeline
Nahezu die Hälfte der Erdölversorgung an der Ostküste der USA ist durch einen Ransomware-Angriff unterbrochen worden. IT-Sicherheitsexperten bezeichnen Ransomware als eine "erschreckende" Bedrohung.
Wichtige Punkte
- Ransomware-Angriff auf Colonial Pipeline unterbricht Stromfluss von Texas in den Nordosten der USA.
- Infrastrukturnetze gelten aufgrund der Integration veralteter industrieller Kontrollsysteme mit modernen Internetprotokollen als zunehmend anfällig für Cyberangriffe.
- Um sich gegen Ransomware zu schützen, muss die Software auf dem neuesten Stand gehalten werden, und die Mitarbeiter müssen in regelmäßigen Abständen in Sachen Cybersicherheit geschult werden.
- Die Wiederherstellung erfordert hochfrequente Backups, die sicher vom Hauptnetz getrennt gespeichert werden.
Die Ransomware-Plage, die weltweit um sich greift, hat am Wochenende ein weiteres prominentes Opfer gefordert: Cyberangreifer legten die Colonial Pipeline in den USA lahm, die nach Angaben des Unternehmens täglich 2,5 Millionen Barrel Diesel, Benzin und Flugzeugtreibstoff von Texas nach New Jersey transportiert - etwa 105 Millionen Gallonen, die dann an der gesamten Ostküste verteilt werden und 45 % des Treibstoffs in der Region liefern.
Am Sonntag reagierten die Behörden und die Energiewirtschaft eilig: Das US-Verkehrsministerium erließ eine vorübergehende Ausnahmeregelung, die es Lkw-Fahrern, die diese Produkte an die Ostküste transportierten, erlaubte, die vorgeschriebenen Betriebsstunden zu überschreiten. [1] Unterdessen bereiteten sich die Rohstoffmärkte auf eine mögliche Preisvolatilität bei Erdölprodukten vor, die auf den Ransomware-Angriff zurückzuführen ist. In veröffentlichten Berichten wurde darauf hingewiesen, dass trotz der hohen Benzinvorräte in der Region in Erwartung einer erhöhten Sommernachfrage mit Engpässen zu rechnen ist, wenn die Pipeline für fünf Tage oder länger ausfällt.
Wie bei mehr als 90 % aller Cyberangriffe gelangte die ursprüngliche Ransomware-Kompromittierung bei Colonial höchstwahrscheinlich per E-Mail in das Unternehmen. Die mutmaßlich verantwortliche Cyber-Hacking-Gruppe Darkside liefert ihre Ransomware-Nutzlast nach einer solchen ersten Kompromittierung in der Regel über ein PowerShell-Skript aus, so Carl Wearn, Head of Threat Intelligence, Risk and Resilience bei Mimecast.
Energiesektor nicht einmal am stärksten von Ransomware betroffen
Mehrere Forschungsberichte, die im ersten Quartal dieses Jahres veröffentlicht wurden - darunter auch der von Mimecast State of Email Security 2021 (SOES) - zeigten einen dramatischen Anstieg von Ransomware weltweit, aber auch, dass der Energiesektor als Ziel von Ransomware weit unter dem Durchschnitt liegt. Sechs von 10 (61 %) der in der SOES-Studie befragten Unternehmen gaben an, dass ihr Geschäft in den letzten 12 Monaten durch Ransomware gestört wurde. Das ist ein bemerkenswerter Anstieg gegenüber 51 % der in der SOES-Ausgabe 2020 befragten Unternehmen.
Der Internet Crime Report 2020 des FBI stellte unterdessen fest, dass sich die finanziellen Verluste durch Ransomware-Angriffe, die dem FBI gemeldet wurden, im Vergleich zum Vorjahr mehr als verdreifacht haben - von 8,9 Millionen Dollar im Jahr 2019 auf 29,1 Millionen Dollar im Jahr 2020. [2]
Von den befragten SOES-Unternehmen aus dem Energiesektor berichteten jedoch nur 15 % über einen erfolgreichen Ransomware-Angriff im vergangenen Jahr. Der am häufigsten von Ransomware angegriffene Sektor war mit 75 % der befragten Unternehmen der Bereich Informationstechnologie und Telekommunikation, gefolgt von Unternehmens- und Fachdienstleistungen (70 %), Finanzdienstleistungen (49 %), Fertigung und Produktion (37 %) und Einzelhandel (36 %). Obwohl Ransomware-Angriffe auf Organisationen des Gesundheitswesens und auf Regierungsbehörden immer wieder für Schlagzeilen sorgten, lagen sie mit 22 % bzw. 27 % der Befragten zurück.
"Unsere Untersuchung hat ergeben, dass Unternehmen, die von Ransomware betroffen sind, im Durchschnitt sechs Arbeitstage durch Systemausfälle verloren haben, wobei 37 % angaben, dass die Ausfallzeit eine Woche oder länger dauerte", sagte Francis Gaffney, Director of Threat Intelligence and Response bei Mimecast, unter Bezugnahme auf die SOES 2021-Umfrage. "Diese Unterbrechung zwingt viele Unternehmen dazu, das Lösegeld zu zahlen, und unsere Untersuchung zeigt, dass 52 % der Unternehmen dies getan haben. Allerdings konnten nur 66 % von ihnen ihre Daten wiederherstellen. Die restlichen 34 % sahen ihre Daten nie wieder, obwohl sie das Lösegeld bezahlt hatten."
Ransomware als "schreckliche Bedrohung" bezeichnet
Unabhängig von der durchschnittlichen Bedrohungslage in einem bestimmten Sektor fürchten IT-Sicherheitsexperten Ransomware-Angriffe durchweg am meisten. Mimecast-Kunden aus dem Finanzdienstleistungs- und Gesundheitswesen haben uns in Interviews für mehrere White Papers immer wieder gesagt, dass dies der Fall ist, weil ihre Unternehmen auf Informationsnetzwerke angewiesen sind und ein Ransomware-Angriff diese Netzwerke lahmlegen kann - und damit den gesamten Betrieb zum Erliegen bringt. Hinzu kommt natürlich der potenzielle Imageschaden durch die unvermeidlichen Nachrichtenberichte.
"Ransomware ist eine furchterregende Bedrohung, auf die wir uns nicht immer vollständig vorbereitet fühlen", sagte ein Interviewpartner aus der US-Gesundheitsbranche erst diese Woche. Seine Organisation vertritt den Standpunkt, dass "Ransomware uns wahrscheinlich irgendwann treffen wird", und deshalb bereitet sie sich mit aller Energie darauf vor, sich so schnell und so umfassend wie möglich zu erholen. "Wir verstärken unsere Backups, die Redundanz und die Geschäftskontinuität. Wir fragen uns, wie wir die Daten wiederherstellen können, wie wir wieder funktionsfähig werden, selbst wenn wir eine Woche oder so auf Daten verzichten müssen. Dies geschieht zusätzlich zu den Schulungen zum Thema Cybersicherheit und anderen Maßnahmen zur Stärkung der Cyber-Resilienz.
Was können Sie tun, um einen Ransomware-Angriff zu verhindern?
Cybersecurity-Experten sind sich einig, dass regelmäßige Backups - die häufig durchgeführt, extern gespeichert und vom Unternehmensnetzwerk getrennt werden - eine der drei wichtigsten Möglichkeiten sind, mit denen Unternehmen versuchen können, Ransomware-Angriffe zu vereiteln. Die anderen sind:
- Software auf dem neuesten Stand halten: Die drei wichtigsten Wörter in der Cybersicherheit sind Update, Update, Update. Die berüchtigte weltweite WannaCry-Infektion von 2017 hätte verhindert werden können, wenn Unternehmen ihre Windows-Software auf dem neuesten Stand gehalten hätten - die Sicherheitslücke, die WannaCry ausnutzte, war zwei Monate zuvor gepatcht worden.
- Schulungen zum Bewusstsein für Cybersicherheit: Die Mitarbeiter müssen regelmäßig an eine gute Cyberhygiene erinnert werden, vor allem in Bezug auf E-Mail-Phishing, insbesondere jetzt, da immer mehr Arbeitnehmer von unterwegs aus arbeiten. Sie sollten niemals unbekannte E-Mail-Anhänge öffnen und auch nicht auf verdächtige Links klicken.
"Unternehmen müssen damit beginnen, in die Bereitschaft und das Bewusstsein für Cybersicherheit zu investieren", betonte Gaffney. "Es wird empfohlen, dass Unternehmen sich auf die Prävention konzentrieren, indem sie starke Resilienzmaßnahmen implementieren und sicherstellen, dass die Mitarbeiter in Bezug auf Cyber-Security geschult sind."
Angriffe auf die Infrastruktur werden wahrscheinlich zunehmen
Experten erwarten seit vielen Jahren eine Zunahme von Cyberangriffen auf gefährdete Infrastrukturen, und es scheint, dass sie Recht hatten. Wie Gaffney erklärt, ist dies größtenteils auf die Integration der so genannten Betriebstechnologie - IT für Fertigungs- und Produktionsprozesse, auch bekannt als industrielle Kontrollsysteme (ICS) - und die Internetprotokollwelt (IP) der modernen IT zurückzuführen.
"Der Schutz von ICS-Anlagen gegen heute übliche Bedrohungen wie böswillige und Freizeit-Hacker kann unzureichend sein, da diese Gefahren bei der Erstinstallation der Systeme noch nicht bestanden", sagt Gaffney. Die zunehmende Konnektivität von ICS-Systemen durch die Verbreitung von 5G-Mobilfunk, Internet der Dinge und industriellen IoT-Netzwerken macht sie anfälliger für Cyberangriffe.
"Mit der Konvergenz dieser Systeme ist es fast sicher, dass Daten und Netzwerke einem erhöhten Risiko von Ransomware- und Datenkompromittierungsangriffen ausgesetzt sind und die Gefahr besteht, dass Geräte, die für die Infrastruktur eines Landes wichtig sind, als Sprungbrett für laterale Bewegungen innerhalb eines kompromittierten Netzwerks genutzt werden", schließt Gaffney.
Die Quintessenz
Es ist noch zu früh, um zu sagen, wie störend der Ransomware-Angriff vom Wochenende auf fast die Hälfte der Erdölversorgung an der US-Ostküste letztlich sein wird. Es könnte sein, dass die Sache geklärt wird, bevor Schaden entsteht, oder es könnte zu katastrophalen Preisschwankungen und Schlangen an den Tankstellen kommen, die an die berüchtigte Ölkrise der 1970er Jahre erinnern. Aber jedes Unternehmen, jede gemeinnützige Organisation und jede Regierungsbehörde auf der Welt sollte dies als Sirenengesang auffassen, um ihre Cyber-Resilienz im Allgemeinen und ihre E-Mail-Sicherheitsschulung im Besonderen zu verbessern, um ihr Geschäft vor schwerwiegenden Unterbrechungen zu schützen.
[1] " U.S. Department of Transportation ... Issues Temporary Hours of Service Exemption... " U.S. Dept. of Transportation
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!