Der 27. Juni 2023 markiert den sechsten Jahrestag des NotPetya-Ransomware-Angriffs, der noch immer als der kostspieligste und zerstörerischste Cyberangriff der Geschichte gilt. Nur etwas mehr als einen Monat nach dem ähnlich berüchtigten WannaCry-Ransomware-Angriff legte der NotPetya-Angriff den Betrieb multinationaler Unternehmen in einer Vielzahl kritischer Infrastrukturen wie dem Gesundheitswesen, der Energieversorgung und dem Transportwesen lahm und verursachte einen geschätzten Schaden von 10 Milliarden US-Dollar. Sechs Jahre später versucht das US-Außenministerium immer noch, die Bedrohungsakteure zur Rechenschaft zu ziehen, und hat eine Belohnung von bis zu 10 Millionen US-Dollar für Informationen über die Verantwortlichen hinter dem Angriff ausgesetzt.
Wenn wir sechs Jahre später zurückblicken, ist klar, dass NotPetya einen tiefgreifenden Einfluss auf das Verhalten von Cyberbedrohungsakteuren und Cybersicherheitsexperten gleichermaßen hatte. Es hat die Schwachstellen von Systemen der Betriebstechnologie (OT) aufgezeigt und Bedenken hinsichtlich der möglichen Folgen von Cyberangriffen auf kritische Infrastrukturen geweckt. Es war nur eine Frage der Zeit, bis Cyberkriminelle erkannten, dass OT-Netzwerke für den Betrieb von entscheidender Bedeutung sind - einschließlich der Steuerung der Stromerzeugung, der Verwaltung von Transportnetzen, der Aufbereitung und Verteilung von Wasser, der Gewährleistung einer sicheren Produktion und Verarbeitung von Chemikalien und vielem mehr - was sie für die Gewährleistung der Sicherheit industrieller Abläufe äußerst wertvoll macht.
Nach dem NotPetya-Angriff sind die Ransomware-Strategien der Angreifer immer zielgerichteter geworden. Sie haben sich von opportunistischen, sprühenden Cyberangriffen zu gezielteren Kampagnen gegen bestimmte Unternehmen mit geringer Toleranz für Betriebsausfälle und einer größeren Bereitschaft und Fähigkeit, Lösegeldforderungen zu erfüllen, entwickelt. Gleichzeitig haben die Veränderungen, denen IT- und OT-Sicherheitsexperten in den letzten Jahren begegnet sind, einschließlich der Auswirkungen des digitalen Wandels und der Einführung von Remote-Arbeitsplätzen, nie dagewesene Ausmaße angenommen und dramatische Auswirkungen auf kritische Infrastrukturen gehabt.
Die Welt hat sich dramatisch verändert
Ab März 2020 mussten sich die Unternehmen schnell umstellen, da eine dezentrale und hybride Belegschaft zur neuen Normalität wurde. Diejenigen, die in der Lage waren, sich schneller auf ein neues, verteiltes Modell einzustellen, konnten ihren Betrieb aufrechterhalten und sich einen Wettbewerbsvorteil verschaffen. Die Beschleunigung der digitalen Transformation und der dezentralen Arbeit hat jedoch auch mehr Möglichkeiten für Bedrohungsakteure geschaffen, und wir haben einen beispiellosen Anstieg von Ransomware-Angriffen auf OT-Netzwerke beobachtet. In unserer weltweiten Umfrage unter 1.100 IT- und OT-Sicherheitsexperten waren 47 % der Befragten innerhalb des letzten Jahres von einem Ransomware-Angriff auf ihre OT-/Industrial Control Systems (ICS)-Umgebung betroffen. Angriffe auf Krankenhäuser, Ölpipelines, Lebensmittelversorgungsketten und andere kritische Infrastrukturen haben die Anfälligkeit von cyber-physischen Systemen (CPS) und die schwerwiegenden Auswirkungen, die Unterbrechungen auf das Leben und den Lebensunterhalt haben können, deutlich vor Augen geführt. Laut einem Bericht des Internet Crime Compliant Center (IC3) des FBI gingen im Jahr 2022 2.385 Beschwerden ein, die als Ransomware identifiziert wurden und einen Schaden von mehr als 34,3 Millionen US-Dollar verursachten.
Erschwerend kommt hinzu, dass kritische Infrastrukturnetze jetzt im Visier geopolitischer Konflikte stehen. Am 20. April 2022 veröffentlichten die Sicherheitsbehörden der Five Eyes, zu denen Länder wie die USA, Australien, Kanada, Neuseeland und das Vereinigte Königreich gehören, eine gemeinsame Cybersecurity Advisory (CSA) veröffentlicht, in der vor drohenden und ernsthaften Bedrohungen für kritische Infrastrukturen in Ländern gewarnt wird, die Russland sanktioniert oder die Ukraine anderweitig unterstützt haben. Cyberkriminelle Gruppen haben sich mit Russland verbündet und versprochen, die Bemühungen des Landes um eine gezielte Cyber-Kriegsführung zu unterstützen. Auch wenn sich die Taktik von Ransomware wie NotPetya, WannaCry und anderer sich selbst verbreitender Ransomware geändert hat, sollten Sicherheitsexperten wachsam bleiben, wenn es um den Schutz vor einem weiteren weit verbreiteten Ransomware-Angriff dieser Art geht. Aller Wahrscheinlichkeit nach ist es unvermeidlich, dass wir in Zukunft ähnliche Vorkommnisse erleben werden, aber nur unter den richtigen Bedingungen.
OT-Schwachstellenmanagement und Netzwerksegmentierung sind wichtiger denn je
Die weitreichenden Auswirkungen von NotPetya wären nicht möglich gewesen, wenn die "wurmfähige", von der NSA entwickelte EternalBlue-Sicherheitslücke nicht zwei Monate zuvor im April 2017 bekannt geworden wäre. Obwohl es unmöglich ist, vorherzusagen, ob und wann eine ähnlich allgegenwärtige Schwachstelle von Cyberkriminellen ausgenutzt wird, können Sicherheitsteams proaktiv zwei wichtige Faktoren angehen, die es NotPetya ermöglichten, eine so große Anzahl von OT-Umgebungen zu infizieren:
Schlechtes Schwachstellenmanagement:
Da der Patch für EternalBlue am 14. April 2017, also mehr als zwei Monate vor NotPetya, veröffentlicht wurde, hätte die ganze Tortur verhindert werden können, wenn alle Organisationen den Patch angewendet hätten. Das Patchen von Schwachstellen, bevor Angreifer die Möglichkeit haben, sie in großem Umfang auszunutzen, ist wichtig, um Angriffe wie NotPetya in Zukunft zu verhindern, aber die Verwaltung von Sicherheits-Patches kann störend und kostspielig sein - insbesondere in OT-Umgebungen. Um die wichtigsten Schwachstellen zu verwalten und zu patchen, müssen Sicherheitsteams die nötige Transparenz haben, um zu erkennen, welche Sicherheitslücken in OT-Ressourcen vorhanden sind, und um den Grad des Risikos jeder Schwachstelle genau einschätzen zu können. Dann können sie, wie in der gemeinsamen CSA vorgeschlagen, der Behebung bekannter Sicherheitslücken Priorität einräumen. In Fällen, in denen ein Patching nicht möglich oder praktikabel ist, wie z. B. bei Altsystemen, ist die Identifizierung und Implementierung von kompensierenden Kontrollen wie Firewall-Regeln und Zugriffskontrolllisten von entscheidender Bedeutung. Die Kenntnis des Ausmaßes der Gefährdung hilft bei der Entscheidung, wo die Ressourcen und das Budget zu konzentrieren sind, um die wichtigsten Anlagen zu schützen.
Unzureichende Netzwerksegmentierung:
Ein wichtiger Faktor, der dazu führte, dass sich der NotPetya-Angriff wie ein Lauffeuer über die IT- und OT-Umgebungen zahlreicher Unternehmen ausbreitete, war die fehlende Segmentierung. Die Anwendung von IT/OT-Segmentierungsrichtlinien mindert das Risiko, dass ein Angriff auf das IT-Netzwerk auf das OT-Netzwerk übergreift. Darüber hinaus ist die virtuelle Segmentierung innerhalb der OT-Umgebung eine kosteneffektive und effiziente Methode, um eine Basislinie für "normales" Netzwerkverhalten zu erstellen und auf jede seitliche Bewegung aufmerksam zu werden, wenn böswillige Akteure versuchen, eine Präsenz aufzubauen, Zonen zu überspringen und sich in der gesamten Umgebung zu bewegen. Und wenn Remote-Operationen direkten Zugriff auf die OT-Netzwerke benötigen, stellt die virtuelle Segmentierung sicher, dass dies über eine sichere Remote-Zugriffsverbindung mit strenger Kontrolle über Benutzer, Geräte und Sitzungen erfolgt.
Der Schutz von CPS ist für Organisationen zu einer höheren Priorität geworden
Der NotPetya-Angriff war nicht speziell auf industrielle Umgebungen ausgerichtet. Aber aufgrund seiner Fähigkeit, sich selbst zu verbreiten, und der Nutzung einer SMB-Schwachstelle, die in vielen OT-Umgebungen vorhanden ist, richtete er in kritischen Infrastrukturen großen Schaden an. Der Angriff war ein Weckruf für viele CISOs und eine Vorwarnung für ein neues Paradigma, bei dem die Überschneidung zwischen IT- und OT-Sicherheitsbedrohungen in der heutigen hypervernetzten Welt stärker anerkannt und priorisiert wird. CPS und die Netzwerke, in denen sie betrieben werden, sind zunehmend zu attraktiven Zielen für staatliche Angreifer und Kriminelle geworden. Wie wir in diesem Blog bereits festgestellt haben, sind diese Netzwerke für den Betrieb und oft auch für die Gesundheit und die Sicherheit der Menschen von entscheidender Bedeutung. Glücklicherweise können Sicherheitsverantwortliche die Geschwindigkeit beschleunigen, mit der sie Sichtbarkeit und Kontrolle über ihre Anlagen erlangen und sich proaktiv auf die wahrscheinlichsten Szenarien vorbereiten - und Vorfälle wie den NotPetya-Angriff im Keim ersticken.
