Sicherheit + Datenschutz 7. Februar 2020 4 Min Lesezeit

Industrieanlage von Erpressungstrojaner „Ekans“ bedroht

Geschrieben von
Roger Klein
hacking

Erpressungstrojaner können heute wesentlich mehr als nur Daten verschlüsseln. IT-Sicherheitsexperten stiessen auf eine neuartige Ransomware, die ganze Industriebetriebe lahmlegen kann. Der Trojaner „Ekans“ verschlüsselt nicht nur Daten, sondern greift die Steuerung von Industrieanlagen direkt an.

Das Sicherheitsunternehmen Dragos hat sich auf die Erkennung von Sicherheitslücken in Industrieanlagen spezialisiert. Die Experten fanden den Trojaner – er weist ein neues Ausmass an Erpressungspotenzial auf. Wie bei Ransomware üblich, verschlüsselt Ekans Daten und fordert Lösegeld für die Freigabe. Neu ist der Hebel dahinter: Die Angreifer können zur Untermauerung ihrer Forderung ganze Industrieanlagen stilllegen.

Die Entdeckung des Trojaners

IT-Sicherheitsforscher entdeckten „Ekans“ erstmals Ende 2019. Der Trojaner tauchte auch unter dem Namen „Snake“ auf – Snake rückwärts ergibt Ekans. Bei der Analyse stellten die Experten Prozesse fest, die industrielle Steuerungssysteme (ICS) direkt angreifen. Die Malware ist darauf ausgelegt, ganze Prozessabläufe zu beenden. Das ist ein Einschnitt: Bisher entwickelten Hacker nur selten Code, der die Verbindung zwischen dem digitalen und dem physischen Teil einer Anlage übernimmt.

Ganz neu ist der Ansatz trotzdem nicht. Im Iran zerstörte Malware Zentrifugen zur Urananreicherung. Die Ukraine erlebte ein Schadprogramm, das einen Stromausfall auslöste. Bei Ekans gehen Sicherheitsspezialisten davon aus, dass die Entwickler industrielle Steuerungssysteme sehr gut kennen.

Der Trojaner Ekans

Forscher gehen davon aus, dass die Entwickler Ekans gezielt für industrielle Steuerungssysteme programmierten. Einsetzbar ist die Ransomware in vielen Branchen – bei Ölraffinerien, in Stromnetzen oder bei Produktionsanlagen. Befallene Computer werden verschlüsselt, die Opfer erhalten einen Hinweis mit der Lösegeldforderung.

Den Druck erhöht der Trojaner auf eine zweite Art: Er kann 64 Softwareprozesse beenden, darunter viele, die auf industrielle Steuerungselemente einwirken. Die Kommunikation zwischen Steuerprogrammen und Industrieanlagen bricht zusammen. IT-Experten stufen die Funktionsweise zwar als simpel ein – der Schaden kann trotzdem immens sein. Ölleitungen oder Industrieroboter lassen sich nicht mehr aus der Ferne kontrollieren, die Überwachung der Infrastruktur fällt aus.

Sicherheitsexperten vermuten, dass Ekans eine Weiterentwicklung von Megacortex ist – dem ersten Erpressungstrojaner, der industrielle Prozesse abschalten konnte. Ekans steht vermutlich noch am Anfang seiner Entwicklung; weitere Prozesse dürften hinzukommen. Megacortex betrieb sein zerstörerisches Werk mit mehr als 1.000 Modulen.

Eine erfolgreiche Attacke ist für die Opfer verheerend. Auch wenn der Aufbau simpel wirkt: Ekans erlaubt es den Erpressern, Teile industrieller Steuerungssysteme zu übernehmen und damit den Druck auf die Opfer massiv zu erhöhen. Wie sich Ekans genau im Netzwerk verbreitet, ist noch nicht bekannt. Laut Untersuchungen von Dragos gab es bisher keinen erfolgreichen Angriff auf eine Industrieanlage.

Neue Qualität bei Ekans erkennbar

Ransomware gegen Industrieanlagen ist nicht neu. Ekans zeigt aber gefährliche neue Eigenschaften. Unter den Prozessen, die der Trojaner beendet, findet sich auch ein Programm für die Datenhistorie – es zeichnet Betriebsinformationen industrieller Systeme auf, einschliesslich des Kontrollmechanismus für die Bezahlung einer betriebsnotwendigen Lizenz.

Das führt nicht zwingend zum Stillstand, reduziert aber die Funktionssicherheit der Anlage erheblich. Ist die Automatisierungssoftware ohne Lizenz unbrauchbar, können Anlagenbediener bestimmte Maschinen nicht mehr steuern. Experten sehen darin einen gefährlichen Kontrollverlust.

Hinterleute unbekannt

Ransomware gegen Industrieanlagen zieht verschiedene Akteure an. Neben Erpressern mit reinem Gewinninteresse können auch Staaten ein Interesse daran haben, Schlüsseltechnologien konkurrierender Länder zu schädigen. Einige Experten gehen davon aus, dass hinter Ekans eher Cyberkriminelle mit Gewinnabsichten stecken. Ähnlich wie Krankenhäuser oder staatliche Verwaltungen haben Industriebetriebe hohe Verluste zu befürchten, wenn das System offline geht – die Industrie muss Kunden termingerecht beliefern, die Daten haben dabei hohe Bedeutung. Die Argumente für ein Nachgeben gegenüber Erpressern sind aus Opfersicht zahlreich.

Eine israelische Sicherheitsfirma behauptete, hinter Ekans steckten iranische Hacker. Forscher anderer IT-Sicherheitsunternehmen sehen dies nicht als erwiesen an. Die IT-Experten von Dragos verweisen auf die Ähnlichkeit zu Megacortex und gehen von krimineller Motivation aus. Ekans wäre damit gemeinsam mit Megacortex die erste nicht-staatliche Malware, die auf industrielle Steuerungssysteme abzielt. Bisher kamen Angriffe auf Industrieanlagen aus staatlichen Einrichtungen – etwa Geheimdiensten. Sicherheitsexperten warnen vor einer neuen Dimension: Angriffe krimineller Hacker zur Gewinnoptimierung dürften ein deutlich grösseres Problem darstellen als staatlich gesteuerte. Ein Angriff auf kritische Infrastruktur könnte im Extremfall zur Gefahr für die Bevölkerung werden.

Schutz vor dem Trojaner Ekans

Die wirksamste Verteidigung gegen Ekans ist das Verhindern des Eindringens ins Netzwerk. Experten empfehlen, die Kommunikation zwischen einzelnen Netzwerkkomponenten einzuschränken – das begrenzt das Ausmass einer Infektion erheblich. Regelmässige Backups sind Pflicht; sie müssen offline aufbewahrt werden. Bei sehr sensiblen Daten empfehlen IT-Experten mehrfache Backups an unterschiedlichen Orten. Betriebssysteme, Software und Firmware brauchen regelmässige Updates. Das Einschränken von Nutzerberechtigungen kann einen Angriff zusätzlich abmildern. Eine aktuelle, korrekt konfigurierte Firewall ist dabei unverzichtbar.

Wenn der Schaden eingetreten ist

Sofort vom Netzwerk trennen – das verhindert die weitere Verbreitung der Ransomware auf Laufwerke und andere Systeme. Ausserdem muss der Zeitpunkt ermittelt werden, wann der Trojaner ins System gelangte. Oft bemerken Opfer den Schädling erst nach mehreren Tagen oder Wochen: Die Malware sendet ihre Lösegeldforderung meist erst, nachdem sie einen Teil ihres Werks bereits vollzogen hat. Zur Datenrettung braucht es ausserdem informierte Mitarbeiter, die wissen, wie sie reagieren sollen. Für die Wiederherstellung des Systems ist ein sauberes Backup kurz vor dem Befall notwendig.

Tags: CybercrimeMalware
Über die Autor:in

Roger Klein

Geschäftsführer dataloft GmbH. WordPress seit Version 3, Frauenfeld. Verantwortet bei dataloft Strategie, Architektur und KI-Integration. Baut mit Mattes und Elena rundum.dog, die grösste deutschsprachige Hunde-Wissensplattform.

→ Wir

Hat dich der Artikel ins Grübeln gebracht?

Wir besprechen sowas gerne im Erstgespräch — schreib uns oder ruf an. Unverbindlich, persönlich, in der Regel innerhalb von 24 Stunden werktags.

→ Direkt zum Kontakt

Wenn du gleich noch was Grösseres anschauen willst

rundum.dog — unsere Hunde-Wissensplattform.

Die grösste deutschsprachige Hunde-Wissensplattform. Unser Eigenprojekt, unser Live-Beweis. Mit ca. einer Million Sessions pro Monat, eigenem KI-Plugin auf Anthropic-API und 17 Custom Post Types.

→ rundum.dog ansehen
Mehr zum Thema Sicherheit + Datenschutz

Drei verwandte Beiträge.

2026-02-04 CHAI (Command Hijacking Against Embodied AI) – Die nächste Eskalationsstufe von Prompt Injection 2020-06-08 Schweiz QR Rechnung: Worauf müssen wir uns vorbereiten? 2020-05-26 Corona App Schweiz: Kantone finden keinen gemeinsamen Nenner

Schreib uns oder ruf an.
Wir antworten in der Regel innerhalb von 24 Stunden werktags.

Roger Klein
Geschäftsführer
E-Mail
info@dataloft.ch
Telefon
+41 52 511 05 05
Adresse
dataloft GmbH · Rietweg 1 · 8506 Lanzenneunforn TG