Neue Ransomware Ekans zielt auf Industrieanlagen

5. Februar 2020, 12:06
  • security
  • industrie
  • cyberangriff
  • international
image

Der Ende 2019 entdeckte Schädling kann industrielle Steuersysteme lahmlegen. Das sei "ein einzigartiges Risiko", warnen Security-Forscher.

Eine neu entdeckte Ransomware namens Ekans (oder Snake, rückwärts geschrieben) enthält nicht nur die üblichen Funktionen zur Deaktivierung von Datensicherungen und der Massenverschlüsselung von Dateien auf infizierten Systemen. Ekans verbreitet zusätzlich einen Code, der aktiv nach Anwendungen sucht, die in industriellen Steuerungssystemen (ICS) verwendet werden, und diese stoppt.
Der Schädling war im Dezember 2019 entdeckt worden. Forscher der US-Sicherheitsfirma Dragos haben nun einen ausführlichen Report darüber veröffentlicht. Die Forscher stufen die Ransomware als "einzigartiges und spezifisches Risiko" für Industriebetriebe ein, auch wenn bis jetzt noch keine Angriffe im grossen Stil bekannt sind.
Bei der Untersuchung stiess Dragos auf eine Kill-Liste mit 64 Methoden, um bestimmte ICS-Prozesse lahmzulegen und diese der Kontrolle der Betreiber zu entziehen. Das mute im Vergleich zu komplexerer Malware etwa im Bereich der Industriespionage rudimentär an, aber diese Methoden würden in Zukunft noch ausgebaut, vermuten die Forscher. Ekans folge damit einem Trend, der auch bei anderen Ransomware-Familien wie Ryuk oder Megacortex beobachtet werde.

"Gewöhnliche Cyberkriminelle" als Urheber vermutet

Zu den Prozessen, die Ekans angreift, gehört etwa ein "Data History"-Programm, das Aufzeichnungen über Betriebsinformationen in industriellen Umgebungen führt. "Wenn Sie diese Funktion blocken, bringen Sie die Anlage nicht unbedingt zum Stillstand, aber Sie verringern das Verständnis des Opfers für seine Umgebung", sagte Joe Slowik, Forscher bei Dragos gegenüber 'Wired'. Weiter würden auch Lizenzserver angegriffen, was dazu führen könne, dass die Betreiber bestimmte Maschinen nicht mehr bedienen können. Im Falle von kritischen Infrastrukturen würde sich dies auch auf die Bevölkerung auswirken.
Dragos widersprach ersten Vermutungen, dass vom Staat beauftragte iranische Hacker hinter Ekans stecken könnten. Es handle sich wohl um "gewöhnliche Cyberkriminelle". Betreibern von Industriekontrollsystemen rät Dragos, diese vom restlichen Netzwerk zu trennen, sie regelmässig zu sichern und die Sicherungen offline zu speichern.

Loading

Mehr zum Thema

image

APIs bei Twitter werden kostenpflichtig

Schon in weniger als einer Woche werden Entwicklerinnen und Entwickler zur Kasse gebeten. Ein Preismodell gibts noch nicht.

publiziert am 3.2.2023
image

Cyberangriff auf die Uni Zürich

Die Angreifer scheinen äusserst professionell vorzugehen, erklärt die Zürcher Hochschule. Noch gebe es keine Hinweise, dass Daten verschlüsselt oder abgegriffen worden sind.

publiziert am 3.2.2023
image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

DXC hofft auf Turnaround im kommenden Jahr

Der Umsatz des IT-Dienstleisters ist im abgelaufenen Quartal erheblich geschrumpft. Im nächsten Geschäftsjahr soll es aber wieder aufwärts gehen, sagt der CEO.

publiziert am 2.2.2023