Ransomware-Angriff lässt Honda im Park feststecken
Ein groß angelegter Ransomware-Angriff auf Honda Motor Co. legt den Produktionsbetrieb lahm und verdeutlicht die Notwendigkeit, geschäftskritische Systeme besser zu schützen.
Wichtige Punkte
- Honda gab bekannt, dass ein Ransomware-Angriff den Betrieb in mehreren Ländern lahmgelegt hat, so dass Fabriken vorübergehend stillgelegt und andere Prozesse unterbrochen wurden.
- Der Angriff wird der Ransomware Snake/ENAKS zugeschrieben und ist möglicherweise Teil einer breit angelegten Kampagne gegen den Fertigungssektor.
- Die Datenpanne bei Honda ist Teil des jüngsten Aufschwungs bei Ransomware-Aktivitäten und zeigt, wie wichtig Cybersicherheit und Widerstandsfähigkeit sind, wenn Unternehmen nach dem Einbruch ihren Betrieb wieder aufnehmen.
Ein Ransomware-Angriff hat diese Woche Teile der Honda Motor Co. lahmgelegt, Systeme gesperrt und wichtige Produktionsabläufe in mehreren Ländern gestoppt.
Am Wochenende hat Honda seine Fabriken in Japan, Europa und den USA geschlossen, nachdem ein Sprecher von Honda U.S. von einem Cyberangriff auf sein weltweites Netzwerk erfahren hatte. [1]
Nach Angaben der BBC wurde die Arbeit in Betrieben in Japan, Nordamerika, Großbritannien, der Türkei und Italien unterbrochen. [2] In einem Beitrag in den sozialen Medien wies Honda auch auf Unterbrechungen beim Kundendienst und bei den Honda Financial Services hin. [3] Einigen Medienberichten zufolge gab Honda an, dass viele Geschäftsprozesse betroffen waren, dass aber einige Werke die Produktion wieder aufnehmen konnten. [4]
SNAKE/EKANS Ransomware verantwortlich gemacht
Honda gab zwar keine Einzelheiten über den Ursprung des Angriffs bekannt, aber Berichte deuten darauf hin, dass er durch die Ransomware SNAKE, auch bekannt als EKANS (Snake rückwärts buchstabiert), verursacht wird, die speziell auf die Kompromittierung industrieller Kontrollsysteme (ICS) ausgerichtet zu sein scheint, sagte Carl Wearn, Leiter der Abteilung E-Crime bei Mimecast.
"EKANS verfügt über eine begrenzte Fähigkeit, einige Prozesse abzuschalten, und erzwingt eine Kompromittierung, um Informationen zu exfiltrieren und dann zu verschlüsseln und Lösegeld zu verlangen", sagte er.
Wearn merkte an, dass die Geschwindigkeit, mit der der Angriff das Unternehmen kompromittierte und seine Daten verschlüsselte, darauf hindeutet, dass der Angriff wahrscheinlich von einer kriminellen Gruppe durchgeführt wurde, im Gegensatz zu nationalstaatlichen Akteuren, die in der Regel einen langfristigeren Ansatz verfolgen, der darauf abzielt, Systeme zu infiltrieren und unbemerkt Daten zu extrahieren.
Obwohl Honda keine Details über die Art des Angriffs nannte, werden E-Mail-Phishing oder das Hacken anfälliger, nicht gepatchter Systeme vermutet, sagte Wearn. Eine weitere, in letzter Zeit von Ransomware-Angreifern bevorzugte Verbreitungsmethode sind Exploit-Kits, die auf Websites platziert werden und darauf abzielen, vorhandene Schwachstellen in Browsern oder Plug-ins automatisch auszunutzen.
Es ist möglich, dass Honda gezielt angegriffen wurde , aber es ist wahrscheinlicher, dass das Unternehmen Opfer einer breit angelegten Kampagne wurde, die auf die Fertigung im Allgemeinen abzielte, sagte Wearn. Cyber-Kriminelle haben in den letzten Monaten einen "intensiven Fokus auf diese Branche" gezeigt, sagte er.
Ransomware verschlüsselt in der Regel alle verfügbaren Daten auf einem System und in einem Netzwerk, um Lösegeld zu erpressen und den Geschäftsbetrieb so lange zu unterbrechen, bis die Zahlung erfolgt ist. Die Tatsache, dass die Ransomware SNAKE/EKANS das Kerngeschäft von Honda beeinträchtigt, würde den Druck zur Zahlung des Lösegelds erhöhen, so Wearn.
"Die Unterbrechung der ICS-Prozesse ist offensichtlich eine Erweiterung, die die Erzwingung von Zahlungen unterstützt", sagte er. Unter der Annahme, dass der Angriff tatsächlich von einer kriminellen Gruppe durchgeführt wurde, "würde ich erwarten, dass eine Forderung gestellt wurde, mit der Drohung, Daten online zu veröffentlichen, wenn nicht umgehend gezahlt wird".
Der Zeitpunkt war unglücklich für den Autohersteller, dessen Geschäft bereits durch die COVID-19-Pandemie und die darauf folgende Abriegelung beeinträchtigt wurde. [5] Der japanische Industriekonzern stellt jährlich fast 32 Millionen Fahrzeuge her - Autos, Motorräder und andere Fahrzeuge - in Fabriken auf allen fünf Kontinenten. [6]
Ein breiteres Wiederaufleben von Ransomware
Der Angriff auf Honda ist Teil einer Welle von Ransomware-Angriffen, die in den letzten Monaten weltweit Organisationen heimgesucht haben und sowohl große als auch kleinere Unternehmen betrafen. Mehrere Branchen sind davon betroffen, darunter Organisationen des Gesundheitswesens , die ein wachsendes Volumen an Ransomware-Angriffen zu verzeichnen haben. Von den Unternehmen, die für die Mimecast-Studie State of Email Security 2020 befragt wurden, gaben 51 % an, dass sie in den letzten 12 Monaten von einem Ransomware-Angriff betroffen waren, der den Geschäftsbetrieb beeinträchtigte und durchschnittlich drei Tage Ausfallzeit verursachte.
Auch das Versicherungsunternehmen Beazley berichtete kürzlich, dass die Ransomware-Angriffe im ersten Quartal 2020 im Vergleich zum Vorjahr um 25 % gestiegen sind. [7] Das Internet Crime Complaint Center des FBI hatte zuvor gewarnt, dass die Komplexität der Angriffe zunimmt und dass sie "gezielter, raffinierter und kostspieliger" werden. [8]
"Ransomware ist eine enorme, ständige Bedrohung, die nur durch angemessene Maßnahmen zur Cybersicherheit und Ausfallsicherheit, einschließlich Offline-Backups und der Verwendung von E-Mail- und Dateifallback-Funktionen, erheblich gemindert werden kann", so Wearn. Die Sensibilisierung der Benutzer durch Cybersecurity-Schulungen kann ebenfalls dazu beitragen, dass die Mitarbeiter weniger leicht auf gefährliche Links oder Anhänge klicken, und es gibt mehrere Präventionsmöglichkeiten.
Das FBI hat eine Liste von Best Practices veröffentlicht, die Unternehmen bei der Abwehr von Ransomware-Angriffen helfen sollen: [9]
- Regelmäßige Bereinigung und Offline-Speicherung von Daten
- Konfigurieren Sie den Zugriff auf die Daten unter Berücksichtigung der geringsten Privilegien
- Konzentrieren Sie sich auf das Sicherheitsbewusstsein und die Schulung Ihrer Mitarbeiter
- Schließen Sie alle Sicherheitslücken, sobald sie entdeckt werden.
- Implementierung einer Whitelist für Anwendungen
Die Quintessenz
Wie der Angriff auf Honda zeigt, stellen Ransomware-Angriffe nach wie vor ein hohes Risiko für Unternehmen in allen Branchen dar, auch in der Fertigung. Geeignete Maßnahmen zur Cybersicherheit und Widerstandsfähigkeit können dazu beitragen, dass Cyberkriminelle Ihre Daten nicht in die Hände bekommen.
[1] "Honda Puts Some Manufacturing on Hold Over Computer Disruption" NBCNews.com, June 8, 2020
[2] "Honda's Operations Hit by Cyber Attack" BBC.com, 9. Juni 2020
[4] " Honda legt nach Ransomware-Angriff Produktionspause ein und schließt Büros ," The Verge
[5] Consolidated Financial Summary for the Fiscal 4th Quarter and The Fiscal Year Ended March 31, 2020" Honda IR Press release , May 12. 2020
[7] "The Enduring Threat of Ransonware" Beazley Breach Insights, 9. Juni 2020
[8] "High-Impact Ransomware Attacks Threaten U.S. Businesses and Organizations" FBI alert, October 2, 2019
[9] "High-Impact Ransomware Attacks Threaten U.S. Businesses and Organizations" FBI alert, October 2, 2019
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!