Top-Ziele: Die Auswirkungen von Ransomware auf die Fertigung

Ransomware ist nach wie vor eine der größten Sicherheitsherausforderungen für Unternehmen auf der ganzen Welt. Im ersten Teil unserer Blogserie über Ransomware haben wir uns mit den Ergebnissen des vom Cyentia Institute gesponserten Ransomware-Berichts befasst, aus dem hervorging, dass exponierte, öffentlich zugängliche Anlagen die wichtigsten Einstiegsvektoren für Ransomware-Gruppen sind.

In der nächsten Folge unserer Serie befassen wir uns mit den wichtigsten Erkenntnissen aus dem halbjährlichen Ransomware-Bericht H1 2024 der Global Resilience Federation (GRF) und ihren Auswirkungen auf die Fertigungsindustrie sowie mit der Frage, was Sicherheitsteams in der Fertigung tun können, um Maßnahmen zu ergreifen.

Was hat GRF erforscht? 

Der Ransomware-Bericht von GRF sammelte Daten aus öffentlichen Quellen und geschlossenen Foren von Bedrohungsakteuren, um Daten über 1.690 Ransomware-Angriffe in der ersten Hälfte des Jahres 2024 zusammenzustellen. Der halbjährlich erscheinende Bericht soll die Auswirkungen von Ransomware-Angriffen messen und Trends in der Sicherheitslandschaft aufzeigen.

Zu den übergreifenden Erkenntnissen aus dem Bericht H1 2024 gehören:

• Der größte Ransomware-Angreifer war LockBit mit 340 erfolgreichen Angriffen.
• 64 % aller Ransomware-Angriffe richteten sich gegen die Vereinigten Staaten.
• Die erneute Erpressung hat sich als Komplikation sowohl für die Opfer als auch für das Ransomware-as-a-Service-Geschäftsmodell selbst erwiesen.
• Das verarbeitende Gewerbe war mit 281 Opfern die am häufigsten von Ransomware-Angriffen betroffene Branche.

Da das verarbeitende Gewerbe ein Hauptziel ist, werfen wir einen genaueren Blick auf die wichtigsten Ergebnisse für diese Branche. (Hinweis: Die GRF-Berichte befassen sich auch mit den Auswirkungen von Ransomware in anderen Branchen, darunter Bildung, Energie und professionelle Dienstleistungen).

Die Auswirkungen von Ransomware auf das verarbeitende Gewerbe in H1 2024 

1. Die Bedrohung für das globale Fertigungsökosystem ist nach wie vor hoch 

Die GRF-Analyse zeigt, dass in der ersten Hälfte des Jahres 2024 kritische Fertigungsunternehmen mit 281 erfolgreichen Angriffen weltweit die meisten Ransomware-Angriffe aller Branchen erlebten. Der Sektor hat seinen Spitzenplatz aus dem Jahr 2023 beibehalten; auch im GRF-Ransomware-Bericht für das zweite Halbjahr 2023 war die kritische Fertigungsindustrie die am häufigsten angegriffene Branche.

GRF weist darauf hin, dass die Fertigungsindustrie ein attraktiver Wirtschaftszweig für Ransomware-Gruppen ist, da dieser Sektor in hohem Maße auf physische Abläufe angewiesen ist, um Gewinne zu erzielen. Anstatt nur Daten zu verschlüsseln, können die Angreifer auch Denial-of-Service-Angriffe auf OT-, ICS- und andere mit dem Internet verbundene Systeme starten, auf die die Hersteller für die Produktion angewiesen sind. Diese Angriffe können den Betrieb zum Stillstand bringen, mit dem Potenzial, langfristige Auswirkungen auf die gesamte Lieferkette zu haben.

Die Gefahr von Störungen in der Fertigung ist daher groß - ebenso wie die Erwartung von Bedrohungsakteuren, dass Fertigungsunternehmen Lösegeldzahlungen leisten, um den Betrieb wieder aufzunehmen. Laut Sophos haben im Jahr 2023 62 % der Opfer in der Fertigungsindustrie Lösegeld gezahlt, fast doppelt so viel wie im Jahr 2022 (34 %).

Beispiele für jüngste Ransomware-Angriffe in der Fertigung gibt es zuhauf. Im Jahr 2023 führte ein Ransomware-Angriff auf den Konsumgüterhersteller Clorox zu längeren Produktausfällen und einem Gesamtschaden von 356 Millionen US-Dollar. Ransomware-Angriffe auf den Laptop-Hersteller Clevos und den Hersteller von Telekommunikationsausrüstungen Allied Telesis gehören zu den vielen, die in der ersten Hälfte des Jahres 2024 in der gesamten Branche aufgetreten sind, wie aus Berichten von Dragos hervorgeht.

2. Die Verlagerung zu kleinen Herstellern: Eine wachsende Besorgnis

Ransomware-Gruppen zielen auch auf neue demografische Gruppen innerhalb der Fertigungsindustrie ab. GRF stellt fest, dass sich Ransomware-Angriffe in der Vergangenheit vor allem gegen mittelgroße Fertigungsunternehmen richteten, während im ersten Halbjahr 2024 kleine Hersteller mit leichtem Vorsprung die am häufigsten angegriffene Gruppe innerhalb der Branche waren. GRF stellt fest: "Der Grund für diese Verschiebung sind möglicherweise nicht finanzielle Anreize, sondern vielmehr die Tatsache, dass mittelgroße Hersteller ihre Systeme zunehmend härter machen, was eine Verschiebung hin zu leichteren Zielen erzwingt."

In gewisser Weise ist dieses Ergebnis ermutigend, da es darauf hindeutet, dass mehr Fertigungsunternehmen, die über die Mittel verfügen, ihre Cybersicherheitsabwehr zu verstärken, dies auch tun. Andererseits unterstreicht das Ergebnis die Tatsache, dass kein Unternehmen zu klein ist, um der Aufmerksamkeit von Ransomware-Gruppen zu entgehen, und dass diese Bedrohungsakteure Lösegeldzahlungen annehmen, wo immer sie sie bekommen können.

3. Verstärkung der Abwehrkräfte: Ein gemischtes Bild

Der GRF-Bericht bietet einen Hoffnungsschimmer: Im Fertigungssektor scheint das Bewusstsein für die Notwendigkeit robuster Cybersicherheitsmaßnahmen zu wachsen. Laut GRF-Bericht ging die Zahl der erfolgreichen Ransomware-Angriffe auf Hersteller in der ersten Hälfte des Jahres 2024 im Vergleich zur zweiten Hälfte des Jahres 2023 um 20 % zurück. Es ist jedoch noch zu früh, um zu sagen, ob dies ein anhaltender Trend ist.

Trotz dieses Fortschritts bleiben die Hersteller ein Hauptziel. Um die Nase vorn zu haben, ist es wichtig zu verstehen , wie Ransomware-Gruppen vorgehen. Der jüngste Ransomware-Bericht des Cyentia Institute zeigt, dass ausgenutzte, öffentlich zugängliche Anlagen die primären Zugangspunkte für Ransomware-Angriffe sind. Bedrohungsakteure sehen diese ungepatchten Schwachstellen als leichte Beute an und nutzen sie oft aus, bevor Sicherheitsteams sie patchen können.

Wie Censys den Sicherheitsteams hilft, einen Schritt voraus zu sein

Um das Risiko erfolgreicher Ransomware-Angriffe zu minimieren und sofortige Maßnahmen gegen die Schwachstellen zu ergreifen, die böswillige Akteure ausnutzen werden, benötigen Sicherheitsteams in der Fertigung einen kontinuierlichen Einblick in alle ihre Systeme und Geräte, die mit dem öffentlichen Internet verbunden sind.

Sicherheitsteams in der Fertigung können diese vollständige Transparenz mit Censys erreichen.

Kunden von Censys Search und Censys ASM können die folgenden Anwendungsfälle in der Fertigung mit unserer führenden Internet-Intelligenz abgleichen, um ihre mit dem Internet verbundenen Anlagen zu identifizieren, zu überwachen und zu schützen.

Abfragen für Anwendungsfälle in der Fertigung 

Einschlägige Protokolle: 

Protokolle der Gebäudeautomatisierung

BACnet

• Search Abfrage: services.service_name:BACNET
• ASM-Abfrage: host.services.service_name:BACNET

LonWorks

• Search Abfrage: services.software: (vendor="Echelon" und product: "i.LON")
• ASM-Abfrage: host.services.software: (vendor="Echelon" und product: "i.LON")

PLC (Speicherprogrammierbare Steuerung) Kommunikation

Unitronics PCOM

• Search Abfrage: services.service_name:PCOM
• ASM-Abfrage: host.services.service_name:PCOM

CODESYS

• Search Abfrage: services.service_name:CODESYS
• ASM-Abfrage: host.services.service_name:CODESYS

Siemens S7

• Search Abfrage: services.service_name:S7 oder services.software.product:`SIMATIC S7`
• ASM-Abfrage: host.services.service_name:S7 oder host.services.software.product:`SIMATIC S7`

Industrielle Vernetzung und IIoT

EtherNet/IP

• Search Abfrage: services.service_name:EIP
• ASM-Abfrage: host.services.service_name:EIP

OPC UA

• Search Abfrage: services.service_name:OPC_UA
• ASM-Abfrage: host.services.service_name:OPC_UA

HMI/SCADA

Roter Löwe Karminrot

• Search Abfrage: services.service_name:REDLION_CRIMSON oder services.software:(vendor="Red Lion" und product="Crimson")
• ASM-Abfrage: host.services.service_name:REDLION_CRIMSON oder host.services.software:(vendor="Red Lion" und product="Crimson")

IEC 61850

• Search Query: services.service_name=IEC60870_5_104
• ASM-Abfrage: host.services.service_name=IEC60870_5_104

Anfragen an den Verkäufer:

Allen-Bradley/Rockwell Automation

• Search Query: services: (parsed.eip.identity.vendor_name=”Rockwell Automation/Allen-Bradley” or software.vendor: “Rockwell Automation”) and not labels: {tarpit, honeypot}
• ASM Query: host.services: (parsed.eip.identity.vendor_name=”Rockwell Automation/Allen-Bradley” or software.vendor: “Rockwell Automation”) and not host.labels: {tarpit, honeypot}

Beckhoff

• Search Abfrage: services.tls.certificates.leaf_data.subject_dn="C=DE, ST=Nordrhein-Westfalen, L=Verl, O=Beckhoff Automation GmbH & Co. KG, CN=\*.beckhoff.com"
• ASM-Abfrage: host.services.tls.certificates.leaf_data.subject_dn="C=DE, ST=Nordrhein-Westfalen, L=Verl, O=Beckhoff Automation GmbH & Co. KG, CN=\*.beckhoff.com"

Siemens

• Search Query: services.software.vendor: “Siemens” and not labels: {tarpit, honeypot}
• ASM Query: host.services.software.vendor: “Siemens” and not host.labels: {tarpit, honeypot}

Ein Beispiel für Censys in der Praxis finden Sie in unserem Tutorial zur Erkennung und zum Schutz von OT-Geräten mit einer einfachen Abfragekette.

 

Das Forschungsteam von Censys hat auch den proprietären Datensatz genutzt, der Censys Search und Censys ASM unterstützt, um Schwachstellen in mit dem Internet verbundenen industriellen Kontrollsystemen (ICS) zu identifizieren, von denen viele von Herstellern genutzt werden.

In ihrem jüngsten Forschungsbericht fand das Team 18.000 gefährdete Geräte in den USA, die wahrscheinlich industrielle Systeme steuern. Diese Ergebnisse unterstreichen, wie wichtig es für die Hersteller ist, die Gefährdung besser zu verwalten und das Risiko von Angriffen zu minimieren. Sie können den Bericht hier lesen.

Schlussfolgerung: Risikoverringerung durch Censys 

Fertigungsunternehmen jeder Größe verlassen sich auf Censys als wichtige Verteidigungslinie gegen Ransomware und andere Angriffe.

Mit Censys Angriffsflächen-Management (ASM)erhalten Sicherheitsteams in der Fertigung einen umfassenden, präzisen und aktuellen Überblick über ihre gesamte Angriffsfläche, einschließlich Einblick in bekannte und unbekannte Ressourcen.

Censys ASM befähigt Teams mit:

• Kontinuierliche Erkennung von Assets: Erkennen Sie automatisch alle Assets in Ihrer Angriffsfläche, auch solche, die von anderen Tools oft übersehen werden.
• Umfassende Bestandsaufnahme der Anlagen: Führen Sie ein detailliertes Echtzeit-Inventar aller Anlagen, damit Sie Schwachstellen effektiv priorisieren können.
• Risikopriorisierung: Identifizieren und priorisieren Sie die kritischsten Schwachstellen, um sicherzustellen, dass sie gepatcht werden, bevor Ransomware-Gruppen sie ausnutzen können.
• Rapid Response-Warnungen: Erhalten Sie innerhalb von 24-72 Stunden Warnmeldungen, wenn Ihre Anlagen von neuen Zero-Day-Exploits betroffen sind. Censys ist der einzige ASM-Anbieter, der ein Rapid Response-Programm anbietet.

Sicherheitsteams können auch Censys Search nutzen, um direkt nach offenen Protokollen und Diensten zu suchen. Wie Censys ASM nutzt Censys Search unsere führende Internet-Intelligenz, um den Benutzern einen unvergleichlichen Einblick in das öffentliche Internet zu geben. Mit benutzerfreundlichen Abfragen, Bezeichnungen in einfacher Sprache und Tausenden von durchsuchbaren Feldern können Sicherheitsteams in der Produktion Censys Search nutzen, um Risiken schnell zu erkennen und zu entschärfen, bevor sie zu einem Angriff führen.

In unserem aktuellen Blog erfahren Sie mehr darüber, wie Censys dazu beiträgt, die Auswirkungen von Ransomware auf Fertigungsunternehmen und andere Organisationen zu begrenzen. Sie können sich auch für ein persönliches Gespräch mit einem unserer Teammitglieder an uns wenden.

GRFs vollständigen Bericht lesen