Wiederholung des Cyberangriffs auf die Colonial Pipeline

Der Cyberangriff auf die Colonial Pipeline im Mai 2021 gilt als einer der bisher größten Angriffe auf kritische Infrastrukturen. Sean Deuby, Director of Services bei Semperis, sagte damals voraus, dass der Ransomware-as-a-Service (RaaS)-Angriff eine „Auswirkung dessen sei, was kommen wird … Open Season für Infrastrukturanbieter.“ Ein Jahr später sprechen wir mit Sean über den aktuellen Stand der Infrastruktur-Cybersicherheit: Welche Lehren wurden gezogen, welche neuen Bedrohungen sind aufgetaucht – und welche Maßnahmen Infrastrukturanbieter jetzt ergreifen können, um zu verhindern, dass sie das nächste große Ziel werden.

Letztes Jahr sagten Sie voraus, dass der Angriff auf die Colonial Pipeline der Beginn eines Trends war, der auf Anbieter kritischer Infrastruktur abzielt. Sehen wir das jetzt?

Sean Deuby: Allein aufgrund der Warnungen von FBI und CISA würde ich sagen, dass die Antwort ein klares „Ja“ ist. Aus BlackCat zu revil zu RagnarLockerbleibt die Zahl und Häufigkeit von Bedrohungen und Bedrohungsakteuren hoch. Und kritische Infrastruktur scheint ein zunehmend attraktives Ziel zu sein.

Zu beachten ist, dass „kritische Infrastruktur“ ein ziemlich breites Spielfeld ist. Die ersten Dinge, die uns in den Sinn kommen, wenn wir diesen Begriff hören, zumindest in den Vereinigten Staaten, sind wahrscheinlich der Cyberangriff auf die Colonial Pipeline und der Angriff auf eine Wasseraufbereitungsanlage in Florida nur wenige Monate zuvor. Aber Versorgungsunternehmen, einschließlich der Öl- und Gasinfrastruktur, sind nur die Spitze des Eisbergs, wenn es um kritische Systeme geht. Ich würde sagen, das Gesundheitswesen ist von entscheidender Bedeutung. Brandschutz, kommunale Dienste sind von entscheidender Bedeutung. Die Lebensmittelversorgung ist kritisch. Die letzten zwei Jahre haben gezeigt, wie anfällig die Just-in-Time-Lieferkette für jede Art von Störung ist, einschließlich der Art von Ransomware-Angriffen REvil gegen JBS gehebelt. Und all diese Branchen sind Hauptziele für Ransomware-Gruppen.

„Laut Gartner haben Ransomware-Angriffe seit dem Angriff auf die Colonial Pipeline im Mai 400 um 2021 % zugenommen und umfassen Kunden, die Angriffe erlitten und eine Wiederherstellung durchlaufen haben.“

Gartner: So schützen Sie Backup-Systeme vor Ransomware-Angriffen

Gibt es einen Grund dafür, dass Infrastrukturanbieter besonders anfällig sind?

Na, gleich vorweg: SCADA-Systeme. IoT-Geräte. Eingebettete Betriebssysteme mit wenigen oder keinen Sicherheitsupdates. Veraltete und schwer zu aktualisierende Technologie. Gesundheitswesen, Versorgungssysteme … diese Branchen sind voll von diesen Arten von Geräten, die einfach so schwer zu sichern sind.

Die Pandemie hat auch die Landschaft kompliziert, indem sie den Bedarf an Fernzugriff erhöht hat. Das erhöht natürlich die Angriffsfläche. Auf dem Höhepunkt des Lockdowns waren viele Unternehmen gezwungen, diese Methoden zusammenzuwerfen. Infolgedessen wurden sie nicht mit der Sorgfalt und Rücksicht und Sicherheit gebaut, die sie wirklich brauchen.

Je nach Branche ist die Finanzierung immer ein Thema. So viele Organisationen können oder wollen zusätzliche Ausgaben für mehrschichtige Verteidigung oder Fehlertoleranz nicht rechtfertigen. Wenn Sie von Ransomware getroffen werden, sind die Kosten natürlich viel höher.

Sehen Sie eine zunehmende Nutzung von RaaS zur Bereitstellung von Ransomware?

Es ist jetzt definitiv eine beliebte Option für böswillige Akteure. Das Ziel der meisten Ransomware-Gruppen ist es, so schnell und einfach wie möglich Geld zu verdienen. Das ist das Endziel – Geld zu verdienen, möglicherweise um wirklich böse Aktivitäten zu finanzieren, von der organisierten Kriminalität bis zum Terrorismus. Alle Methoden, die dieses Ziel erreichen, sind Freiwild. Warum nicht die Reibung beim Einstieg ins Geschäft verringern? Warum machen Sie es Affiliates nicht einfacher und erhalten eine Kürzung des Prozesses?

Welche Entwicklungen im Laufe des Jahres seit dem Cyberangriff auf die Colonial Pipeline haben Sie überrascht?

Vielleicht bin ich am meisten überrascht, dass wir uns nicht gesehen haben mehr wirklich wirksamere Cyberangriffe als wir. Ich denke, die meisten IAM-Experten sind irgendwie immer auf der Kante unserer Sitze und halten den Atem an, während wir darauf warten, dass das nächste NotPetya seinen hässlichen Kopf erhebt. Besonders angesichts einiger globaler Ereignisse im Jahr seit dem Cyberangriff auf die Colonial Pipeline bin ich angenehm überrascht, dass wir nichts Schlimmeres gesehen haben als wir. Ich hoffe, das ist ein Indikator dafür, dass Unternehmen effektivere Maßnahmen ergreifen, um ihre Netzwerke und Identitätssysteme wie Active Directory zu schützen, das meistens das ultimative Ziel für Ransomware ist.

Eine weitere, wenn auch nicht überraschende Entwicklung ist das Wiederauftauchen einiger DarkSide-Spieler in der BlackCat-Gruppe. Ich würde sagen, es ist eher interessant als überraschend. Eines ist bei vielen dieser Gruppen zu beachten, die auf kritische Infrastrukturen abzielen: Nachdem DarkSide nach dem Angriff auf die Colonial Pipeline von der US-Regierung ins Visier genommen wurde, haben nichtstaatliche Bedrohungsakteure versucht, die Angriffe klein genug zu halten, um ein ernsthaftes Eingreifen der Regierung zu vermeiden. Das ist eine echte Bedrohung für ihr Gewinnpotenzial. Daher ist es nicht unerwartet, dass sich Gruppen auflösen und in anderen Iterationen neu formieren. Und aus Sicht der Cybersicherheit könnte dies auf die Art von Taktiken hinweisen, die wir von neuen Gruppen sehen werden, basierend auf den früheren Zugehörigkeiten ihrer Mitglieder.

Welche Schritte können kritische Infrastrukturunternehmen angesichts all dessen jetzt unternehmen, um sich selbst zu schützen?

Bei Semperis raten wir Unternehmen immer, „wie ein Angreifer zu denken“. Sie müssen Ihre Sicherheit wirklich so betrachten, wie es jemand ohne oder mit einem extrem verdrehten moralischen Kompass tun würde. Wo liegt der höchste Gewinn? Ist es Ihr geistiges Eigentum? Ihre Kundendaten? Wenn es um Ransomware geht, geht es bei kritischen Infrastrukturen oft einfach um den Geldbetrag, den Bedrohungsakteure verdienen können, indem sie Ihre Systeme allgemein sperren, nachdem sie wertvolle Unternehmensdaten exfiltriert haben. Ein Krankenhaus, das viele IoT-Geräte verwendet, um lebenserhaltende Dienstleistungen – Medikamente, Beatmung und dergleichen – zu erbringen, wird mit größerer Wahrscheinlichkeit schnell auf die Beine kommen als eine Organisation, die tagelang mit der Erbringung von Dienstleistungen warten kann.

Abgesehen von den offensichtlichen Ratschlägen – Patches, starke Passwortrichtlinien und dergleichen – sind Netzwerksegmentierung und die Implementierung starker Kontrollen rund um den Remotezugriff wichtige Schritte. Wie bereits erwähnt, erweitert der Fernzugriff die Angriffsfläche. Je mehr Schutz Sie dort bieten können, desto besser. Für Organisationen wie Versorgungsunternehmen kann die Isolierung Ihrer IT- und Authentifizierungssysteme von Ihren Prozesssteuerungssystemen – und die Sicherstellung, dass keine doppelten Anmeldeinformationen für beide verwendet werden – zumindest Zeit während eines Angriffs verschaffen.

Irgendwelche anderen Gedanken, die wir für den Rest des Jahres 2022 mitnehmen können?

Bei Ransomware ist zu beachten, dass Angreifer, die es schaffen, in ein System einzudringen, sofort damit beginnen, nach privilegiertem Zugriff zu suchen. Sie bewegen sich Schritt für Schritt seitwärts, indem sie Active Directory verwenden. Sobald sie den Administrator-Jackpot geknackt haben, können sie alle Arten von Chaos anrichten. Deshalb ist es so wichtig, eine AD-spezifische Verteidigungslösung zu haben. Möglicherweise müssen Sie Tausende von Endpunkten und Benutzerkonten verteidigen. Die Wahrscheinlichkeit, dass jemand oder etwas durch das Raster rutscht, ist hoch. Implementieren starker Sicherheit rund um Active Directory – die Möglichkeit, Warnungen bei bekannten Sicherheitsindikatoren für Offenlegung und Kompromittierung zu automatisieren, Änderungen an Active Directory rückgängig zu machen, bis Ihr Sicherheitsteam sie überprüfen und genehmigen kann, und im schlimmsten Fall eine Wiederherstellung von einem kürzlich durchgeführten Backup ohne Malware erneut einzuführen – das ist Ihre beste Wahl, wenn es darum geht, das Licht am Laufen zu halten.

Das neueste von Semperis Purple Knight-Bericht zeigte, dass kritische Infrastrukturen, Regierungen, das Gesundheitswesen und die Transportbranche viele Verbesserungen in Bezug auf die Kontosicherheit und insbesondere die Sicherheit von Gruppenrichtlinien vornehmen können. Ich würde Organisationen ermutigen, die zu verwenden kostenloses Purple Knight-Bewertungstool um nur einen schnellen Schnappschuss darüber zu erhalten, wo ihre Active Directory-Sicherheit steht.