Der OT-Sicherheitsforscher Amir Preminger, Vice President of Research bei Claroty, bewertet anlässlich des dreijährigen Jubiläums des NotPetya-Angriffs, was sich in der Zwischenzeit insbesondere bei der Sicherheit industrieller Netzwerke getan hat:
Gerade als man sich von der verheerenden WannaCry-Ransomware-Welle erholt zu haben schien, trat am 27. Juni 2017, also vor genau drei Jahren, eine weitere weltweite Malware-Kampagne auf den Plan. NotPetya zielte wohl ursprünglich auf ukrainische Unternehmen, verbreitete sich jedoch rasch weltweit. Beide Angriffe basierten auf der kurz zuvor geleakten EternalBlue-Schwachstelle im Windows SMB-Dienst und breiteten sich wurmartig in den betroffenen Netzwerken aus. Im Gegensatz zu WannaCry wurden bei NotPetya jedoch die Daten nicht nur verschlüsselt, sondern teils auch wichtige Systemkomponenten überschrieben. Insofern handelt es sich bei dieser Malware eher um einen Wiper als um eine klassische Ransomware. Die Schäden waren enorm: So bezifferte allein die Reederei Maersk die Kosten auf bis zu 300 Millionen USD, TNT Express verbuchte einen durch den Angriff verursachten Verlust von ebenfalls 300 Millionen USD. Insgesamt wird der weltweite Schaden auf über eine Milliarde USD geschätzt. Mit dazu beigetragen hat auch die Tatsache, dass der eigentlich auf die IT zielende Angriff (wie auch schon bei WannaCry) auch auf OT-Systeme (also industrielle Steuerungssystem) übergegriffen und dort für „Kollateralschäden“ gesorgt hat (Spillover-Effekt).
Was hat sich in den letzten drei Jahren getan? Sind insbesondere OT-Netzwerke mittlerweile besser vor Angriffen dieser Art gewappnet? Werfen wir einen Blick auf die vier wesentlichen Faktoren für die Ausbreitung von NotPetya und überprüfen wir, was sich in der Zwischenzeit getan hat:
- Mangelndes Patching ist immer noch ein großes Problem. Dies liegt vor allem daran, dass sich ICS-Assets im Gegensatz zu IT-Komponenten nicht ohne Weiteres und ohne mögliche Produktionsunterbrechungen patchen lassen. Auch die Identifizierung der entsprechenden Geräte ist für viele Unternehmen eine Herausforderung.
- Schlechte Netzwerksegmentierung: Hier hat sich einiges verbessert, allerdings bleibt noch viel zu tun. Angesichts der Konvergenz von IT und OT ist eine strikte Trennung nicht mehr realistisch oder realisierbar. Umso wichtiger ist es, die OT-Infrastruktur (virtuell) zu segmentieren und damit mögliche Schäden zu begrenzen.
- Unzureichende Netzwerktransparenz: Nach wie vor haben zahlreiche Betreiber kritischer Infrastrukturen und OT-Netzwerke keinen hinreichenden Einblick in ihre (komplette) Infrastruktur. Um ihr Risiko und die Bedrohungslage einschätzen zu können, müssen sie jedoch wissen, welche Schwachstellen vorhanden sind. Gerade bei einer wurmartigen Ausbreitung ist Zeit ein wesentlicher Faktor und Unternehmen müssen präzise wissen, welche Geräte anfällig sind (und beispielsweise gepatcht werden müssen), um abgestimmte Abwehrmaßnahmen einleiten zu können.
- Schwaches Monitoring: So wie die Unternehmen oft über keine ausreichende Transparenz ihrer Assets verfügen, ist auch die Überwachung des Netzwerk-Traffics in vielen Fällen mangelhaft, wodurch nicht erkannt werden kann, wenn sich Malware im Netzwerk verbreitet.
Nach dem Angriff ist vor dem Angriff: Es ist jetzt von entscheidender Bedeutung, Schwachstellen zu entdecken und zu beheben, bevor die Angreifer die Möglichkeit haben, sie in großem Maßstab auszunutzen.
Nach dem Angriff ist vor dem Angriff: Die Basis für das nächste NotPetya befindet sich noch in der Entwicklungsphase, so dass es für die Verhinderung eines ähnlichen Angriffs von entscheidender Bedeutung ist, Schwachstellen zu entdecken und zu beheben, bevor die Angreifer die Möglichkeit haben, sie in großem Maßstab auszunutzen. Diese Chance sollten Unternehmen nicht ungenutzt lassen und jetzt ihr Augenmerk auf den Schutz ihrer OT-Umgebungen lenken!
