Aktuellen Berichten der beiden Security-Dienstleister Dragos und Sentinel One zufolge ist eine neue Art von Software im Umlauf, die auf infizierten Computern Daten verschlüsselt, bei der es sich also um sogenannte Ransomware handelt.
Was ist EKANS Ransomware?
Die als EKANS bezeichnete Software wurde erstmals Mitte Dezember 2019 beobachtet. Das Programm ist nach Ansicht von Security-Forschern einerseits relativ einfach aufgebaut: Es verschlüsselt Daten und fordert zur Zahlung eines Lösegelds für die Entschlüsselung der Daten auf. Andererseits verfügt EKANS aber auch über die Fähigkeit, ausgewählte laufende Prozesse und Anwendungen auf infizierten Computern aktiv zu beenden. Aufmerken lässt die Beobachtung, dass dabei spezielle Prozesse beendet werden, die mit Industriesteuerungen wie GE Proficy, ThingWorx und Honeywell HMI sowie mit IoT-Systemen zusammenhängen. Dass solche Prozesse angegriffen werden, deutet darauf hin, dass EKANS möglicherweise primär gegen Industriesteuerungen gerichtet ist.
EKANS mag im Vergleich zu anderen Industriesabotageprogrammen wie Stuxnet oder BlackEnergy recht simpel erscheinen, dennoch kann die Verschlüsselung von Computern, mit denen Produktionsprozesse oder Versorgungsleitungen kontrolliert werden, schwerwiegende Folgen haben.
Den Experten von Dragos zufolge hat EKANS Ähnlichkeit mit der früheren Megacortex-Ransomware, die im Frühjahr 2019 auf infizierten Computern Hunderte von Prozessen beendete. Megacortex werden erfolgreiche Angriffe zugeschrieben, bei denen Lösegeldforderungen von bis zu 5,8 Millionen US-Dollar aufgerufen wurden.
Derzeit ist noch nicht ganz klar, wer für die Entwicklung von EKANS verantwortlich sein könnte. Zu den Angriffszielen gehören unter anderem Unternehmen aus dem Kraftstoffsektor.
Der Verbreitungsmechanismus der neuen Ransomware ist bisher unbekannt. Von den Forschern wurde bisher kein eingebauter Mechanismus zur automatischen Weiterverbreitung gefunden. Die Malware läuft entweder im interaktiven Modus oder über Skripting.
Eigentümern und Betreibern von Industriesteuerungen wird empfohlen, ihre Infrastrukturen auf Anzeichen einer Ransomware-Infektion zu überprüfen.
Ergänzend ist es sinnvoll, auf Computern mit Produktionssteuerungssystemen als ergänzende Präventionsmaßnahme Mechanismen einzuführen, die das Starten unbekannter Programme verhindern. Auf Netzwerkebene kann an der Schnittstelle zwischen Unternehmens- und Industrienetzwerk die Übertragung von Programmcode überwacht werden, um schon an diesem Punkt die Weiterleitung von Malware zu unterbinden.
Es ist offensichtlich, dass Cyberkriminelle zunehmend Industriesysteme als Ziele auswählen. Hinzu kommen weitere schlechte Nachrichten: Weil wir in der Industrie-4.0-Ära leben und immer mehr Industriesteuerungen mit dem Internet verbunden sind, werden ehemals völlig isolierte Industriesteuerungen heutzutage sehr leicht zu Angriffszielen, solange sie nicht ausreichend geschützt sind. SPS wurden in den letzten Jahren zu modernen PACs weiterentwickelt (Programmable Logic Controllers), die eigene Betriebssysteme ausführen, welche ihrerseits spezielle Schwachstellen und Fehler haben. Es lässt sich leicht ausrechnen, dass Cyberangriffe irgendwann direkt gegen Controller gerichtet werden, und nicht nur gegen Computer, auf denen Industriesteuerungen laufen. Die klare Konsequenz aus diesen Erkenntnissen lautet, dass es an der Zeit ist, nicht nur in den Schutz von Computern gegen Malware zu investieren, sondern auch in den Schutz von Steuerungen (PACs/SPS) und in die Überwachung von Industrienetzwerken.
