Die breite Palette von Geräten, die mit dem Internet der Dinge verbunden sind, bietet ein reichhaltiges Ziel für Lösegelderpresser. Die Zahl der Lösegeldüberfälle nimmt zu.
Laut SonicWall ist die Zahl der Erpressungsprogramme in der ersten Hälfte des Jahres 2020 um 109% gestiegen. Mit relativ niedrigen Ausführungskosten, hoher Rentabilität und minimalem Entdeckungsrisiko im Vergleich zu anderen Arten von Malware hat sich Ransomware schnell zur bevorzugten Angriffsmethode von Cyberkriminellen entwickelt.
Während Computersysteme nach wie vor die häufigste Quelle für Ransomware-Infektionen sind, sind Geräte des Internet der Dinge (Internet of Things, IoT) aus einer Reihe von Gründen ebenfalls ein wichtiges Ziel, u.a. weil Hacker wissen, dass Unternehmen auf diesen Geräten oft weniger sichtbar sind und daher ohne Erkennung eine verheerende Wirkung haben können. Hinzu kommt, dass IoT-Geräte oft nicht unter dem Gesichtspunkt der Sicherheit entwickelt werden, was sie anfällig für Exploits macht.
Verbreitung der Attacken ist signifikant
IoT-basierte Angriffe können sich auch sehr schnell über das Netzwerk verbreiten, um den Schaden zu maximieren, und Erpresser können die physischen Funktionen dieses Geräts unzugänglich machen, bis Lösegeld gezahlt wird.
Leider gibt es viele “Finger”, wenn es darum geht, wer für die Durchsetzung der IoT-Sicherheit verantwortlich ist. Häufig müssen sich einzelne Organisationen vor IoT-Angriffen schützen.
Von allen Ransomware-Programmen ist eines der schädlichsten und berüchtigtsten WannaCry. Es wird geschätzt, dass es über 200.000 Computer in 150 Ländern infiziert hat, und der Gesamtschaden reicht von Hunderten von Millionen bis zu Milliarden von Dollar.
WannaCry verwendet, wie andere Formen von Malware und Lösegeldforderungen auch, einen bekannten Exploit namens EternalBlue. Es nutzt eine Schwachstelle im Server Message Block-Protokoll Version 1 (SMB v1) von Windows aus, die es Malware ermöglicht, sich von XP bis 2016 in jedem Netzwerk, in dem dieses Protokoll aktiviert ist, auf alle nicht-gepatchten Windows-Systeme zu verbreiten.
Angriffe auf Versorgungseinrichtungen
Im Jahr 2019 entdeckte das europäische Krankenhaussystem, dass ihre Ultraschallgeräte mit WannaCry infiziert waren. Mehrere medizinische digitale Bildgebungs- und Kommunikationsgeräte (DICOM) wurden ebenfalls infiziert, weil sie mit älteren Versionen von MS-Windows-Betriebssystemen arbeiteten. Diese Geräte konnten nicht korrigiert werden, ohne die Garantie des Geräteherstellers zu verletzen, und konnten aufgrund der Kosten dieser Geräte nicht einfach ersetzt werden.
Es handelte sich um einen besonders gefährlichen Fall, da einige Bilder und Nachrichten gestohlen und gegen Lösegeld festgehalten werden konnten, oder schlimmer noch, das Gerät hätte unter Kontrolle gebracht und deaktiviert werden können.
Sie erfassten den Datenverkehr auf dem Ultraschallgerät und stellten einen signifikanten Anteil des Datenverkehrs vom Ultraschallgerät zum Netzwerk über SMB Over TCP (Port 445) fest. Da dieser Port der bevorzugte und bekannte Exploit für EternalBlue/WannaCry war, bestätigte dies, dass der Rechner infiziert war.
Erste Schritte zur Defensive bei Ransomware-Infektionen
Es wurden Sicherheitsprofile angewendet und die infizierten Geräte isoliert.Da das Ultraschallgerät nicht korrigiert oder aktualisiert werden konnte, konnten sie die Infektion nicht beseitigen. Das Krankenhaus war jedoch in der Lage, sie einzudämmen und die infizierten medizinischen Geräte weiter zu verwenden, ohne sich Sorgen machen zu müssen, dass das weitere Netzwerk infiziert wird oder die Ultraschallbilder und -dateien verloren gehen.
Zu diesem Zweck verwendete das Krankenhaus eine Sicherheitslösung, die bestimmte Geräte im Netzwerk segmentieren und isolieren konnte, so dass die Infektion im Ultraschallgerät eingedämmt werden konnte und sich nicht über das Netzwerk ausbreiten konnte. Das IT-Team wandte dann Richtlinien auf das Ultraschallgerät an, um sicherzustellen, dass die UDP/TCP-Ports nicht geöffnet wurden, mit Ausnahme derer, die vom Bildgebungspersonal und den IT-Managern ausdrücklich erlaubt wurden.
Die Aktion hörte nicht auf, als das Krankenhaus bekannte exponierte Geräte isolierte. Krankenhäuser und andere Organisationen, die ihre Computersysteme mehreren Runden von WannaCry-Ausbrüchen ausgesetzt haben, müssen bestätigen, dass auch medizinische Geräte (insbesondere solche, auf denen ältere Versionen von MS-Windows-Betriebssystemen liefen) nicht infiziert waren. Das europäische Krankenhaus bestätigte, dass andere Geräte nicht infiziert waren und überwachte weiterhin jede verdächtige Aktivität genau.
