Erpressungstrojaner können heute wesentlich mehr als nur Daten zu verschlüsseln. IT-Sicherheitsexperten stießen nun auf eine neuartige Ransomware, die ganze Industriebetriebe lahmlegen kann. Der Trojaner “Ekans” verschlüsselt nicht nur Daten, sondern beeinträchtigt die Steuerung von Industrieanlagen.
Das Sicherheitsunternehmen Dragos ist führend in der Erkennung von Sicherheitslücken für Industrieanlagen. Die Sicherheitsexperten des Unternehmens fanden den Trojaner, der ein völlig neues Ausmaß an Erpressung aufweist. Wie bei Ransomware üblich verschlüsselt Ekans die Daten. Für die Entschlüsselung verlangen die Erpresser hohe Summen an Lösegeld. Neu ist, dass die Cyber-Kriminellen zur Untermauerung ihre Forderung ganze Industrieanlagen stilllegen.
Die Entdeckung des Trojaners
“Ekans” entdeckten IT-Sicherheitsforscher erstmals Ende 2019. Neben diesem Namen tauchte der Trojaner auch als “Snake” auf. Snake rückwärts geschrieben ergibt Ekans. Die IT-Sicherheitsexperten analysierten den Trojaner und stellen Prozesse fest, die industrielle Steuerungssysteme (ICS) angreifen. Die neue Malware ist so konzipiert, dass sie ganze Prozesse beendet. Dies ist alarmierend. Bisher entwickelten Hacker nur sehr selten Codes, welche die Verbindung zwischen digitalem und physischen Teil der Anlage übernehmen.
Ganz neu ist diese Methode jedoch nicht. Es gab Malware, die im Iran Zentrifugen zur Urananreicherung zerstörten. Die Ukraine fiel einem Schadprogramm zum Opfer, dass für einen Stromausfall sorgte. Beim Erpressungstrojaner Ekans gehen die Sicherheitsspezialisten davon aus, dass sich die Entwickler sehr gut über Steuerungssysteme auskennen.
Der Trojaner Ekans
Forscher gehen davon aus, dass die Entwickler die Ransomware speziell für industrielle Steuersysteme programmierten. Sie ist in vielen Industrien einsetzbar, etwa bei Ölraffinerien, in Stromnetzen oder bei Produktionsanlagen. Wie bei Ransomware üblich, verschlüsselt der Trojaner Daten auf dem befallenen Computer. Die Opfer erhalten einen Hinweis, dass die Freigabe der Daten gegen die Zahlung eines Lösegelds erfolgt.
Um der Forderung Nachdruck zu verleihen, verfügt der Trojaner über die Fähigkeit, 64 Softwareprozesse zu beenden. Darunter sind viele Prozesse, die auf industrielle Steuerungselemente einwirken. Dadurch wird die Kommunikation der Steuerprogramme mit den Industrieanlagen unterbrochen. IT-Experten sehen die Funktionsweise zwar als simpel an, der Schaden kann aber immens sein. Die Malware beschädigt die Überwachung der industriellen Infrastruktur. Dadurch können beispielsweise Ölleitungen oder Industrieroboter nicht mehr aus der Ferne kontrolliert werden.
IT-Sicherheitsexperten vermuten, dass Ekans eine Weiterentwicklung des ersten Erpressungstrojaners für die Abschaltung industrieller Prozesse, Megacortex, ist. Die Forscher glauben, dass Ekans noch am Anfang der Entwicklung steht. Vermutlich werden weitere Prozesse hinzukommen. Die Sicherheitsforscher verweisen auf Megacortex, dass sein zerstörerisches Werk mit mehr als 1.000 Modulen betrieb.
Eine erfolgreiche Attacke ist für die Opfer verheerend. Auch wenn die Forscher den Aufbau des Trojaners als simpel einstufen, erlaubt er den Erpressern, Teile industrieller Steuerungssysteme zu übernehmen. Somit haben die Kriminellen ein weiteres Druckmittel, um ihrer Lösegeldforderung Nachdruck zu verleihen. Wie sich Ekans genau auf das Netzwerk verteilt, ist den Experten bisher nicht bekannt. Laut den Untersuchungen von Dragos erfolgte noch kein erfolgreicher Angriff auf eine Industrieanlage.
Neue Qualität bei Ekans erkennbar
Ransomware, die auf Industrieanlagen abzielt, gibt es schon lange. Ekans zeigt aber neue gefährliche Eigenschaften. Unter den vielen Prozessen, die der Schädling beendet, gehört auch ein Programm für die Datenhistorie. Es zeichnet Betriebsinformationen der industriellen Systeme auf. Dazu zählt auch der Kontrollmechanismus, über die Bezahlung einer für den Betrieb notwendigen Lizenz.
Zwar soll dadurch nicht unbedingt ein kompletter Stillstand der Anlage erfolgen, aber es reduziert die Funktionssicherheit der Anlage. Ist die Automatisierungssoftware so konzipiert, dass sie ohne Lizenz unbrauchbar ist, hat dies für das Opfer erhebliche Folgen. Ein Ausfall des Lizenzservers, könnte dafür sorgen, dass die Anlagenbediener einige Maschinen nicht mehr beherrschen können. Experten sehen hier einen gefährlichen Kontrollverlust.
Hinterleute unbekannt
Ransomware, die auf Industrieanlagen zielt, hat einige Interessenten. Neben Erpressern, die es einfach auf Geld absehen, können auch Staaten ein Interesse haben, Schlüsseltechnologien in konkurrierenden Ländern zu schädigen. Einige Experten gehen davon aus, dass hinter Ekans eher Cyber-Kriminelle mit Gewinnabsichten stehen. Ähnlich wie bei Krankenhäusern oder staatlichen Verwaltungen haben Industriebetriebe hohe Verluste zu befürchten, wenn das System offline geht. Industrielle Steuerungssysteme gehören deshalb zu den wertvollsten Zielen für Hacker. Die Industrie muss Kunden termingerecht beliefern. Die Daten haben dabei eine hohe Bedeutung. Es gibt also viele Argumente, Erpressern nachzugeben.
Eine israelische Sicherheitsfirma behauptete jüngst, hinter Ekans stehen iranische Hacker. Forscher anderer IT-Sicherheitsunternehmen sehen dies nicht als erwiesen an. Die IT-Experten von Dragons verweisen auf die Ähnlichkeit zu Megacortex und unterstellen eine kriminelle Motivation. Ekans wäre gemeinsam mit Megacortex die erste nicht-staatliche Malware, die auf industrielle Steuerungssystem abzielt. Für Sicherheitsspezialisten ist dies eine beunruhigende Nachricht. Bisher erfolgten Angriffe auf Industrieanlagen durch staatliche Einrichtungen, beispielsweise durch Geheimdienste. Sicherheitsexperten warnten nun vor einer neuen Dimension. Wenn der Iran industrielle Infrastruktur der Nachbarn lahmlegt, ist dies beängstigend. Angriffe krimineller Hacker zur Gewinnoptimierung dürften aber ein deutlich größeres Problem darstellen. Unter Umständen könnte ein Angriff auf eine kritische Infrastruktur sogar zu einer Gefahr für die Bevölkerung führen, warnen Experten.
Schutz vor dem Trojaner Ekans
Die beste Verteidigungsstrategie gegen Ekans ist das Verhindern des Eindringens in das Netzwerk. Zum Schutz von industriellen Netzwerken empfehlen Experten die Einschränkung der Kommunikation zwischen einzelnen Komponenten. Damit schränken Netzwerksbetreiber das Ausmaß einer Infektion deutlich ein. Unerlässlich ist ein regelmäßiges Back-up der Daten. Sie müssen offline aufbewahrt werden. Für sehr sensible Daten empfehlen IT-Experten mehrfache Back-ups. Sie sind an unterschiedlichen Orten aufzubewahren. Betriebssysteme, Software und Firmware erfordern regelmäßige Updates. Auch das Einschränken von Berechtigungen für Nutzer kann einen Angriff auf das System abmildern. Entscheidend ist ferner eine aktuelle und richtig konfigurierte Firewall.
Wenn der Schaden eingetreten ist
Das sofortige Trennen vom Netzwerk verhindert die Verbreitung der Ransomware. So dämmt der Nutzer die Ausbreitung des Schädlings auf Laufwerke und weitere Systeme ein. Außerdem ist die Ermittlung des Zeitpunktes erforderlich, wann der Trojaner in das System gelangte. Oft werden Opfer erst nach mehreren Tagen oder Wochen auf den Schädling aufmerksam. Die Malware sendet ihre Lösegeldforderung meist erst, wenn sie bereits einen Teil ihres Werkes vollzog. Um die Daten zu retten, sind außerdem Information und Instruktion der Mitarbeiter erforderlich. Für die Wiederherstellung des Systems benötigen Betroffene ein Back-up mit sauberen Daten kurz vor dem Befall durch die Malware.