Datenschutz
18.02.2020
Schadcode

So gefährlich ist die neue Ekans-Ransomware

RansomwareRansomwareRansomware
johavel / shutterstock.com
Eine neue Ransomware mit dem Namen Ekans treibt ihr Unwesen. Forscher des US-Cybersicherheits-Unternehmens Claroty haben die Funktionsweise der Schadsoftware näher untersucht und geben nun Handlungsempfehlungen zur Vermeidung eines Angriffs.
Nachdem Ende Januar mit Ekans eine neue Art der Ransomware entdeckt wurde, gab es einige Berichte, welche die Eigenschaften der Malware beschrieben. Eines der markantesten Merkmale war laut vielen Nachrichten der direkte Angriff von industriellen Kontrollsystemen (ICS). Neue Erkenntnisse eines Forscherteams des Cybersicherheits-Unternehmens Claroty zeigen jedoch, dass diese Annahme falsch ist. Ein Grund zur Entwarnung sei das allerdings nicht, so die Forscher. Durch die steigende Angleichung von IT- und industriellen Netzwerken käme es zur verstärkten Gefahr von Kollateralschäden durch das Übergreifen auf Produktionsstätten (Spillover-Effekt).
Anders als ICS-spezifische Schadsoftware wie Industroyer oder BlackEnergy kann Ekans nicht direkt mit ICS-Geräten kommunizieren, da die nötigen Kommunikationsprotokolle fehlen. Die Häufigkeit von ICS-Prozessen in der Ekans-Kill-Liste legt jedoch die Schlussfolgerung nahe, dass die Ziele der Ransomware genau diese ICS-Vorgänge sind. Ekans will diese allerdings nicht ohne Umweg unterbinden, sondern arbeitet mit einem anderen Ansatz. Zuerst wird das gesamte IT-Netzwerk eines Unternehmens angegriffen, die anschließende Störung der ICS-Netzwerke ist nur als Nebenprodukt der Ekans-Ransomware zu begreifen und entsteht über die Schnittstellen zwischen IT- und OT-Netzwerk.
Die Forscher mutmaßen, Ekans könnte ein Vorbote zukünftiger Ransomware sein. Während aktuell der direkte Angriff von ICS-Netzwerken kaum möglich ist, kann eine Gefährdung der OT-Netzwerke nicht nur Daten, sondern auch die Sicherheit von Menschen bedrohen. In nächster Zeit ist eine derartige Schadsoftware eine realistische Bedrohung für die Sicherheit von Unternehmen.

Tipps der Experten

Das Wichtigste gegen Ekans oder andere Ransomware seien proaktive Schritte zur Risikominimierung. Um erfolgreiche Angriffe durch Ransomware zu vermeiden, geben die Experten einige hilfreiche Tipps.
  • Netzwerksegmentierung: Um das Ausmaß eines etwaigen Eingriffs zu verringern, ist die Einschränkung der Kommunikation zwischen verschiedenen Netzwerksegmenten je nach Kritikalität und Nutzbarkeit ein essenzielles Element.
  • Datensicherheit: Regelmäßige Backups und eine sichere Aufbewahrung sind unerlässlich.
  •  Software- und Firmware-Updates: Regelmäßige Updates der Betriebssysteme, Plugins und Softwares sind unverzichtbar, wird Ransomware nicht selten über Exploit-Kits verteilt.
  •  Nutzer-Richtlinien: Das Installieren von Anwendungen und die Änderung von Benutzerrechten darf nur von vertrauenswürdigen Nutzern erfolgen. Bei der Vergabe sollten Unternehmen nach dem Least-Privilege-Ansatz verfahren.
  •  Netzwerk-Management: Auch die Konfiguration von Firewalls, die Überwachung unbenutzter Ports sowie das Blockieren nicht verwendeter Protokolle, sollten Standard sein.
Selbst im Falle einer Infektion gibt es noch Handlungsmöglichkeiten für Unternehmen. Der Schaden sollte grundsätzlich so gering wie möglich gehalten werden. Infizierte Assets müssen hierzu sofort vom restlichen Netzwerk getrennt werden. Außerdem muss das Unternehmen feststellen, wann die Ransomware in das System eingedrungen ist. Im Normalfall vergehen zwischen dem ursprünglichen Angriff und der späteren Lösegeldforderung mehrere Tage oder Wochen. Neben diesen technischen Maßnahmen müssen auch die Mitarbeiter unterrichtet werden, um dem Vorfallreaktionsplan zu folgen.
Ferner müssen die Daten wiederhergestellt werden. Hierzu ist es erforderlich die letzten sauberen Backup-Dateien zu laden. Bei Produktionsdatenbanken oder industriellen Anwendungen sollte zusätzlich eine virtuelle Maschine mithilfe einer Backup-Lösung genutzt werden. Zeitgleich ist es ratsam Vorkehrungen zu treffen, um die Folgen für Geschäftsprozesse zu reduzieren.

mehr zum Thema