![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
[English]Wie gef\u00e4hrlich ist die k\u00fcrzlich entdeckte Ransomware Snake\/Ekans, die auf Industrieanlagen zielt? Die Malware greift zwar nicht direkt ICS-Prozesse an, ist dennoch gef\u00e4hrlich f\u00fcr kritische Infrastrukturen und OT-Systeme.<\/p>\n
<\/p>\n
Sicherheitsforscher des Spezialisten f\u00fcr industrielle Cybersicherheit Claroty<\/a><\/b> <\/b>haben jetzt aber herausgefunden, dass dies jedoch nicht der Fall ist. Besteht also Grund zur Entwarnung? Leider nicht, denn durch die zunehmende Konvergenz zwischen IT- und industriellen Netzwerken besteht auch hier die Gefahr einer massiven St\u00f6rung, wenn Angriffe auf IT-Systeme auch auf Produktionsst\u00e4tten \u00fcberspringen (Spillover-Effekt). Solche \u201eKollateralsch\u00e4den\" konnten Sicherheitsforscher von Claroty bei NotPetya und WannaCry beobachten.<\/p>\n Im Gegensatz zu ICS-spezifischer Malware wie Triton und Industroyer kommuniziert Snake nicht mit ICS-Ger\u00e4ten (Industrial Control Systems) und ist nicht in der Lage, die Logik oder die Tag-Werte solcher Ger\u00e4te zu \u00e4ndern,. Der Grund: Es nutzt (zur Zeit) nicht die daf\u00fcr erforderlichen industriellen Kommunikationsprotokolle. Die starke Pr\u00e4senz von ICS-Prozessen in der Snake-Kill-Liste (siehe mein obiger Blog-Beitrag) deutet jedoch darauf hin, dass die anvisierten Ziele der L\u00f6segeldforderung tats\u00e4chlich ICS-Prozesse sind. <\/p>\n Der Hauptunterschied besteht darin, so die Sicherheitsanalysten von Claroty , dass Snake nicht versucht, solche Prozesse zu unterbrechen, indem sie direkt auf ICS-Ger\u00e4te abzielt. Vielmehr wirft die Ransomware ein viel breiteres Netz aus, welches auf die gesamten IT-Netzwerke von Unternehmen abzielt. Viele dieser Netzwerke sind mit ICS-Netzwerken und damit Prozessen verbunden. Folglich ist jeder Schaden an ICS-Prozessen, der auftritt, wahrscheinlich ein Nebenprodukt der Verschl\u00fcsselung der HMI-Konfiguration (HMI = Human Machine Interface<\/em>) <\/em>durch die L\u00f6segeldforderung und\/oder anderer Arten von IT-Dateien, die f\u00fcr ICS-Prozesse kritisch sind.<\/p>\n Insofern sollte Snake\/Ekans als ernste Warnung begriffen werden, dass durch die Konvergenz von IT und ICS bzw. OT ernste Sicherheitsrisiken entstanden sind, schreiben die Sicherheitsforscher. Auch wenn diese Malware nicht in der Lage ist, mit ICS-Ger\u00e4ten \u00fcber OT-Protokolle zu kommunizieren, kann sie dennoch aufgrund der Architektur vieler IT- und ICS\/OT-Netzwerke in Industrieunternehmen und kritischen Infrastrukturen die Verf\u00fcgbarkeit, Sicherheit und Zuverl\u00e4ssigkeit von ICS-Prozessen beeintr\u00e4chtigen. <\/p>\n Und sie ist wom\u00f6glich ein Vorgeschmack auf zuk\u00fcnftige Entwicklungen im Bereich der industriellen Cybersicherheit: \u201eW\u00e4hrend die meisten Ransomware-Kampagnen sich bisher auf IT-Systeme konzentrierten, gehen wir davon aus, dass Systeme der Betriebstechnik (OT) zunehmend gef\u00e4hrdet sind, da Unternehmensnetzwerke mit Industrienetzwerken konvergieren und Angreifer nach alternativen Mitteln zur Erpressung von Unternehmen suchen. Anstatt Daten zu gef\u00e4hrden, sind neue Typen dieser Malware darauf ausgelegt, den Betrieb der Anlagen zu st\u00f6ren und im schlimmsten Fall auch die Sicherheit von Menschen zu gef\u00e4hrden\", sagt Dave Weinstein, CSO des OT-Security-Spezialisten Claroty. <\/p>\n Das Claroty-Forscherteam empfiehlt folgende Schritte, um proaktiv das Risiko durch Snake, andere Ransomware oder destruktiver Malware zu reduzieren: <\/p>\n F\u00fcr den Fall einer Infektion gibt es, den auftretenden Schaden zu minimieren. Dazu k\u00f6nnen folgende Ma\u00dfnahmen beitragen: <\/p>\n Zudem gilt es, die durch die Ransomware verschl\u00fcsselten Daten wiederherzustellen: <\/p>\n Noch einige Hintergrundinformationen zu Claroty, von denen ich die obigen Aussagen und Einsch\u00e4tzungen erhalten habe. Claroty schlie\u00dft die L\u00fccke in der industriellen Cybersicherheit zwischen IT und OT. Insbesondere f\u00fcr Unternehmen mit hochautomatisierten Produktionsst\u00e4tten und Fabriken, die einem erheblichen Sicherheits- und Finanzrisiko ausgesetzt sind, ist dies von gr\u00f6\u00dfter Bedeutung. <\/p>\n Mit den integrierten IT\/OT-L\u00f6sungen von Claroty k\u00f6nnen Unternehmen und Betreiber kritischer Infrastrukturen ihre bestehenden IT-Sicherheitsprozesse und -technologien nutzen, um die Verf\u00fcgbarkeit, Sicherheit und Zuverl\u00e4ssigkeit ihrer OT-Anlagen und -Netzwerke nahtlos und ohne Ausfallzeiten oder spezielle Teams zu verbessern. Die Ergebnisse sind eine h\u00f6here Verf\u00fcgbarkeit und eine gr\u00f6\u00dfere Effizienz in allen Gesch\u00e4fts- und Produktionsabl\u00e4ufen.<\/p>\n Claroty wird von f\u00fchrenden Industrieautomationsanbietern unterst\u00fctzt und weltweit eingesetzt. Das Unternehmen hat seinen Hauptsitz in New York und konnte seit seiner Gr\u00fcndung im Jahr 2015 durch die renommierte Plattform f\u00fcr Unternehmensgr\u00fcndungen Team8 eine Finanzierung von 100 Millionen USD erzielen. <\/p>\n \u00c4hnliche Artikel:<\/strong> [English]Wie gef\u00e4hrlich ist die k\u00fcrzlich entdeckte Ransomware Snake\/Ekans, die auf Industrieanlagen zielt? Die Malware greift zwar nicht direkt ICS-Prozesse an, ist dennoch gef\u00e4hrlich f\u00fcr kritische Infrastrukturen und OT-Systeme.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[7914,4715,4328,7913],"class_list":["post-228355","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-ekans","tag-ransomware","tag-sicherheit","tag-snake"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/228355","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=228355"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/228355\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=228355"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=228355"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=228355"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Ende Januar wurde eine neue Art der Ransomware Snake identifiziert, die vermeintlich eine Kill-List zur Lahmlegung bestimmter ICS-Prozesse enthielt. Ich hatte im Blog-Beitrag Snake\/EKANS-Ransomware Werk von Cyber-Kriminellen<\/a> \u00fcber diese Ransomware berichtet. Dem aktuellen Kenntnisstand nach ist die Ransomware darauf angelegt, industrielle Prozesse zu st\u00f6ren, indem sie direkt auf die Ausr\u00fcstung des industriellen Kontrollsystems (ICS) abzielt. <\/p>\n
Keine Kommunikation mit ICS-Ger\u00e4ten<\/h2>\n
Empfehlungen zur Risikominimierung<\/h2>\n<\/p>\n
\n
Tipps f\u00fcr den Fall einer Ransomware-Infektion<\/h2>\n<\/p>\n
\n
\n
Snake\/EKANS-Ransomware Werk von Cyber-Kriminellen<\/a>
Cyberangriff 'Snake' auf Politiker, Bundeswehr und Botschaften<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"