GlobalSign Blog

03 Apr 2019

Ransomware: Witzige Namen, ernste Folgen

Der norwegische Industrieriese Norsk Hydro, Opfer des massiven Ransomware-Angriffs der vergangenen Woche, beginnt sich langsam zu erholen. Die Erholung kommt das Unternehmen allerdings teuer zu stehen. Geschätzte 40 Millionen Dollar wird der Ransomware-Angriff den Aluminiumgiganten wohl kosten.

Der Name der Attacke: LockerGoga.Die Ransomware hat mehrere Systeme bei Norsk Hydro infiziert und sich in zahlreichen Bereichen auf den laufenden Betrieb ausgewirkt. Die Produktionsumgebungen wurden so stark beeinträchtigt, dass die Werke gezwungen waren, die Produktion zu stoppen und auf manuellen Betrieb umzustellen. Ein böses Erwachen für den Hersteller.

Am Dienstag gab das Unternehmen nun bekannt mit den Wiederherstellungsmaßnahmen begonnen zu haben. Die meisten Betriebe laufen demnach wieder normal. Laut Computing UK  "stellt Norsk Hydro nun IT-Systeme schrittweise sicher und geschützt wieder her, um auf den normalen Geschäftsbetrieb hinzuarbeiten und die Auswirkungen auf Mitarbeiter, Betriebe, Kunden, Lieferanten und andere Partner zu begrenzen.“

Auch zwei Chemieunternehmen waren von der LockerGoga-Attacke der letzten Woche betroffen. Hexion und Momentive, die Harze, Silikone und andere Materialien herstellen, waren beide, gemäß Motherboard, weltweit von IT-Ausfällen betroffen. Hexion veröffentlichte am 22. März eine Pressemitteilung wie das Unternehmen auf die Attacke reagiert hat, welchen Plan zur Wiederherstellung es verfolgt, und wie es mit Kunden und Lieferanten zusammenarbeitet um Störungen zu minimieren.

Warum dieser Ransomware-Angriff anders ist

LockerGoga ist insofern ungewöhnlich, als dass die Schadsoftware neben dem üblichen Zerstörungsweg einer typischen Ransomware auch den Netzwerkadapter eines Computers deaktiviert um ihn vom Netzwerk zu trennen. Anschließend werden die Benutzer- und Administratorpasswörter geändert und der Computer abgemeldet. Laut Trend Micro verlagert sich LockerGoga in einen temp-Ordner und benennt sich dann mithilfe der Befehlszeile (cmd) selbst um. Der verwendete Befehlszeilenparameter enthält keine Dateipfade der für die Verschlüsselung avisierten Dateien. In einigen Fällen können die Opfer so die Ransomware-Meldung nicht sehen und wissen überhaupt nicht, dass sie angegriffen wurden.

Eine weitere Analyse von Trend Micro ergab, dass LockerGoga anscheinend nicht die Fähigkeit besitzt, sich ähnlich wie frühere Angriffe wie WannaCry oder Petya / NotPetya zu verbreiten (mehr zu diesen Angriffen unten). Die statische Analyse von Trend Micro zeigt, dass LockerGoga die WLAN- und / oder Ethernet-Netzwerkadapter des infizierten Systems auflistet und anschließend versucht die CreateProcessW-Funktion via Befehlszeile (netsh.exe interface set interface DISABLE) zu deaktivieren, um das System von allen externen Verbindungen zu trennen. LockerGoga führt diese Routine nach dem Verschlüsselungsvorgang aus, aber bevor sich die Software vom aktuellen Konto abmeldet. Ein bemerkenswertes Verhalten. Die Dateiverschlüsselungsroutine kann als weniger konsequent betrachtet werden, da LockerGoga den Benutzer bereits durch die geänderten Passwörter vom System aussperrt.

Hersteller werden zum bevorzugten Ziel

In den letzten Jahren haben Angriffe auf Hersteller aller Art stetig zugenommen. Unter den Betroffenen sind einige der bekanntesten Unternehmen der Welt. 2017 waren Nissan, Renault und Merck das Ziel von Ransomware-Kampagnen wie WannaCry und NotPetya. Die Angriffe führten zu Schäden in Höhe von mehreren Hundert Millionen Dollar.

Im vergangenen Jahr weiteten sich die Angriffe auf die Mobilfunkbranche aus. Diesmal erwischte den iPhone-Chip-Hersteller TSMC eine WannaCry-Variante. Der Angriff führte zu Ausfallzeiten und Schäden in Höhe von geschätzten 250 Millionen Dollar. Die Schäden waren nicht nur außergewöhnlich schwerwiegend, TSMC galt nicht einmal als Hauptziel. Aber aufgrund von IT-Versäumnissen, wie nicht gepatchten Windows-Systemen, fanden die Hacker ihren Weg ins Unternehmensnetz (Patch Tuesday haben Sie also hoffentlich nicht ignoriert).

Branchenbeobachter gehen davon aus, dass Ransomware-Angriffe wie LockerGoga Industriekontrollsysteme erheblich beeinträchtigen können. Dazu ein Experte in Wired: "Man testet diese Systeme normalerweise nicht in einer Situation, in der man keine Kontrolle mehr über sie hat und in der man sie nicht mehr überwachen kann. Wenn sich dann etwas ändert, kann man nicht darauf reagieren. Und jede Situation kann sich sehr schnell zu einer Krise ausweiten." Schon 2014 gab es in einem bisher ungenannten deutschen Stahlwerk einen Vorfall, verursacht von einer Gruppe unbekannter Hacker. Der Angriff verursachte massive Schäden, weil es den Anlagenbetreibern nicht mehr gelang einen Hochofen kontrolliert herunterzufahren.

Hacker finden immer neue kreative Wege, um Chaos anzurichten. Hersteller sollten mit erfahrenen Anbietern von Cybersicherheitslösungen und mit Expertise im industriellen Umfeld zusammenarbeiten um das Schlimmste zu verhindern. Insbesondere wenn mit dem Internet verbundene Geräte ins Spiel kommen.

Das IoT-Team von GlobalSign arbeitet mit immer mehr Unternehmen aus Fertigung und Produktion zusammen, um Geräteendpunkte zu sichern. Weitere Informationen zu unseren IoT- und IIoT-Produkten und -Lösungen finden Sie unter https://www.globalsign.com/de-de/internet-of-things/.

Über die Autorin

Amy Krigman ist Public Relations Manager von GlobalSign. Sie hat eine breite Palette erfolgreicher PR-Kampagnen entwickelt, die Presse in den Bereichen Technik, Wirtschaft und Handel hervorbringen. Infolgedessen hat sie sich einen Ruf als eine der besten Medienschaffenden der Branche erworben. Amy hat auch mit führenden Analystenfirmen wie Gartner, IDC und Forrester Research zusammengearbeitet, um kritische Positionen für ihre B2B-Kunden zu gewinnen, die zur Aufnahme in Forschungsberichte, Referenzen auf Analystenveranstaltungen und mehr geführt haben.

Artikel teilen