Ransomware ist nach wie vor eine der größten Sicherheitsherausforderungen für Unternehmen auf der ganzen Welt. Im ersten Teil unserer Blogserie über Ransomware haben wir uns mit den Ergebnissen des vom Cyentia Institute gesponserten Ransomware-Berichts befasst, aus dem hervorging, dass exponierte, öffentlich zugängliche Anlagen die wichtigsten Einstiegsvektoren für Ransomware-Gruppen sind.
In der nächsten Folge unserer Serie befassen wir uns mit den wichtigsten Erkenntnissen aus dem halbjährlichen Ransomware-Bericht H1 2024 der Global Resilience Federation (GRF) und ihren Auswirkungen auf die Fertigungsindustrie sowie mit der Frage, was Sicherheitsteams in der Fertigung tun können, um Maßnahmen zu ergreifen.
Was hat GRF erforscht?
Der Ransomware-Bericht von GRF sammelte Daten aus öffentlichen Quellen und geschlossenen Foren von Bedrohungsakteuren, um Daten über 1.690 Ransomware-Angriffe in der ersten Hälfte des Jahres 2024 zusammenzustellen. Der halbjährlich erscheinende Bericht soll die Auswirkungen von Ransomware-Angriffen messen und Trends in der Sicherheitslandschaft aufzeigen.
Zu den übergreifenden Erkenntnissen aus dem Bericht H1 2024 gehören:
- Der größte Ransomware-Angreifer war LockBit mit 340 erfolgreichen Angriffen.
- 64 % aller Ransomware-Angriffe richteten sich gegen die Vereinigten Staaten.
- Die erneute Erpressung hat sich als Komplikation sowohl für die Opfer als auch für das Ransomware-as-a-Service-Geschäftsmodell selbst erwiesen.
- Das verarbeitende Gewerbe war mit 281 Opfern die am häufigsten von Ransomware-Angriffen betroffene Branche.
Da das verarbeitende Gewerbe ein Hauptziel ist, werfen wir einen genaueren Blick auf die wichtigsten Ergebnisse für diese Branche. (Hinweis: Die GRF-Berichte befassen sich auch mit den Auswirkungen von Ransomware in anderen Branchen, darunter Bildung, Energie und professionelle Dienstleistungen).
Die Auswirkungen von Ransomware auf das verarbeitende Gewerbe in H1 2024
-
Die Bedrohung für das globale Fertigungsökosystem ist nach wie vor hoch
Die GRF-Analyse zeigt, dass in der ersten Hälfte des Jahres 2024 kritische Fertigungsunternehmen mit 281 erfolgreichen Angriffen weltweit die meisten Ransomware-Angriffe aller Branchen erlebten. Der Sektor hat seinen Spitzenplatz aus dem Jahr 2023 beibehalten; auch im GRF-Ransomware-Bericht für das zweite Halbjahr 2023 war die kritische Fertigungsindustrie die am häufigsten angegriffene Branche.
Quelle: GRF H1 2024 Global Ransomware Resiliency Report
GRF weist darauf hin, dass die Fertigungsindustrie ein attraktiver Wirtschaftszweig für Ransomware-Gruppen ist, da dieser Sektor in hohem Maße auf physische Abläufe angewiesen ist, um Gewinne zu erzielen. Anstatt nur Daten zu verschlüsseln, können die Angreifer auch Denial-of-Service-Angriffe auf OT-, ICS- und andere mit dem Internet verbundene Systeme starten, auf die die Hersteller für die Produktion angewiesen sind. Diese Angriffe können den Betrieb zum Stillstand bringen, mit dem Potenzial, langfristige Auswirkungen auf die gesamte Lieferkette zu haben.
Die Gefahr von Störungen in der Fertigung ist daher groß - ebenso wie die Erwartung von Bedrohungsakteuren, dass Fertigungsunternehmen Lösegeldzahlungen leisten, um den Betrieb wieder aufzunehmen. Laut Sophos haben im Jahr 2023 62 % der Opfer in der Fertigungsindustrie Lösegeld gezahlt, fast doppelt so viel wie im Jahr 2022 (34 %).
Beispiele für jüngste Ransomware-Angriffe in der Fertigung gibt es zuhauf. Im Jahr 2023 führte ein Ransomware-Angriff auf den Konsumgüterhersteller Clorox zu längeren Produktausfällen und einem Gesamtschaden von 356 Millionen US-Dollar. Ransomware-Angriffe auf den Laptop-Hersteller Clevos und den Hersteller von Telekommunikationsausrüstungen Allied Telesis gehören zu den vielen, die in der ersten Hälfte des Jahres 2024 in der gesamten Branche aufgetreten sind, wie aus Berichten von Dragos hervorgeht.
2. Die Verlagerung zu kleinen Herstellern: Eine wachsende Besorgnis
Ransomware-Gruppen zielen auch auf neue demografische Gruppen innerhalb der Fertigungsindustrie ab. GRF stellt fest, dass sich Ransomware-Angriffe in der Vergangenheit vor allem gegen mittelgroße Fertigungsunternehmen richteten, während im ersten Halbjahr 2024 kleine Hersteller mit leichtem Vorsprung die am häufigsten angegriffene Gruppe innerhalb der Branche waren. GRF stellt fest: "Der Grund für diese Verschiebung sind möglicherweise nicht finanzielle Anreize, sondern vielmehr die Tatsache, dass mittelgroße Hersteller ihre Systeme zunehmend härter machen, was eine Verschiebung hin zu leichteren Zielen erzwingt."
In gewisser Weise ist dieses Ergebnis ermutigend, da es darauf hindeutet, dass mehr Fertigungsunternehmen, die über die Mittel verfügen, ihre Cybersicherheitsabwehr zu verstärken, dies auch tun. Andererseits unterstreicht das Ergebnis die Tatsache, dass kein Unternehmen zu klein ist, um der Aufmerksamkeit von Ransomware-Gruppen zu entgehen, und dass diese Bedrohungsakteure Lösegeldzahlungen annehmen, wo immer sie sie bekommen können.
3. Verstärkung der Abwehrkräfte: Ein gemischtes Bild
Der GRF-Bericht bietet einen Hoffnungsschimmer: Im Fertigungssektor scheint das Bewusstsein für die Notwendigkeit robuster Cybersicherheitsmaßnahmen zu wachsen. Laut GRF-Bericht ging die Zahl der erfolgreichen Ransomware-Angriffe auf Hersteller in der ersten Hälfte des Jahres 2024 im Vergleich zur zweiten Hälfte des Jahres 2023 um 20 % zurück. Es ist jedoch noch zu früh, um zu sagen, ob dies ein anhaltender Trend ist.
Trotz dieses Fortschritts bleiben die Hersteller ein Hauptziel. Um die Nase vorn zu haben, ist es wichtig zu verstehen , wie Ransomware-Gruppen vorgehen. Der jüngste Ransomware-Bericht des Cyentia Institute zeigt, dass ausgenutzte, öffentlich zugängliche Anlagen die primären Zugangspunkte für Ransomware-Angriffe sind. Bedrohungsakteure sehen diese ungepatchten Schwachstellen als leichte Beute an und nutzen sie oft aus, bevor Sicherheitsteams sie patchen können.
Wie Censys den Sicherheitsteams hilft, einen Schritt voraus zu sein
Um das Risiko erfolgreicher Ransomware-Angriffe zu minimieren und sofortige Maßnahmen gegen die Schwachstellen zu ergreifen, die böswillige Akteure ausnutzen werden, benötigen Sicherheitsteams in der Fertigung einen kontinuierlichen Einblick in alle ihre Systeme und Geräte, die mit dem öffentlichen Internet verbunden sind.
Sicherheitsteams in der Fertigung können diese vollständige Transparenz mit Censys erreichen.
Kunden von Censys Search und Censys ASM können die folgenden Anwendungsfälle in der Fertigung mit unserer führenden Internet-Intelligenz abgleichen, um ihre mit dem Internet verbundenen Anlagen zu identifizieren, zu überwachen und zu schützen.
Abfragen für Anwendungsfälle in der Fertigung
Einschlägige Protokolle:
Protokolle der Gebäudeautomatisierung
BACnet
LonWorks
PLC (Speicherprogrammierbare Steuerung) Kommunikation
Unitronics PCOM
CODESYS
Siemens S7
Industrielle Vernetzung und IIoT
EtherNet/IP
OPC UA
HMI/SCADA
Roter Löwe Karminrot
IEC 61850
Anfragen an den Verkäufer:
Allen-Bradley/Rockwell Automation
Beckhoff
Siemens
Ein Beispiel für Censys in der Praxis finden Sie in unserem Tutorial zur Erkennung und zum Schutz von OT-Geräten mit einer einfachen Abfragekette.
Das Forschungsteam von Censys hat auch den proprietären Datensatz genutzt, der Censys Search und Censys ASM unterstützt, um Schwachstellen in mit dem Internet verbundenen industriellen Kontrollsystemen (ICS) zu identifizieren, von denen viele von Herstellern genutzt werden.
In ihrem jüngsten Forschungsbericht fand das Team 18.000 gefährdete Geräte in den USA, die wahrscheinlich industrielle Systeme steuern. Diese Ergebnisse unterstreichen, wie wichtig es für die Hersteller ist, die Gefährdung besser zu verwalten und das Risiko von Angriffen zu minimieren. Sie können den Bericht hier lesen.
Schlussfolgerung: Risikoverringerung durch Censys
Fertigungsunternehmen jeder Größe verlassen sich auf Censys als wichtige Verteidigungslinie gegen Ransomware und andere Angriffe.
Mit Censys Angriffsflächen-Management (ASM)erhalten Sicherheitsteams in der Fertigung einen umfassenden, präzisen und aktuellen Überblick über ihre gesamte Angriffsfläche, einschließlich Einblick in bekannte und unbekannte Ressourcen.
Censys ASM befähigt Teams mit:
- Kontinuierliche Erkennung von Assets: Erkennen Sie automatisch alle Assets in Ihrer Angriffsfläche, auch solche, die von anderen Tools oft übersehen werden.
- Umfassende Bestandsaufnahme der Anlagen: Führen Sie ein detailliertes Echtzeit-Inventar aller Anlagen, damit Sie Schwachstellen effektiv priorisieren können.
- Risikopriorisierung: Identifizieren und priorisieren Sie die kritischsten Schwachstellen, um sicherzustellen, dass sie gepatcht werden, bevor Ransomware-Gruppen sie ausnutzen können.
- Rapid Response-Warnungen: Erhalten Sie innerhalb von 24-72 Stunden Warnmeldungen, wenn Ihre Anlagen von neuen Zero-Day-Exploits betroffen sind. Censys ist der einzige ASM-Anbieter, der ein Rapid Response-Programm anbietet.
Sicherheitsteams können auch Censys Search nutzen, um direkt nach offenen Protokollen und Diensten zu suchen. Wie Censys ASM nutzt Censys Search unsere führende Internet-Intelligenz, um den Benutzern einen unvergleichlichen Einblick in das öffentliche Internet zu geben. Mit benutzerfreundlichen Abfragen, Bezeichnungen in einfacher Sprache und Tausenden von durchsuchbaren Feldern können Sicherheitsteams in der Produktion Censys Search nutzen, um Risiken schnell zu erkennen und zu entschärfen, bevor sie zu einem Angriff führen.
In unserem aktuellen Blog erfahren Sie mehr darüber, wie Censys dazu beiträgt, die Auswirkungen von Ransomware auf Fertigungsunternehmen und andere Organisationen zu begrenzen. Sie können sich auch für ein persönliches Gespräch mit einem unserer Teammitglieder an uns wenden.
GRFs vollständigen Bericht lesen