Snake/Ekans: Ransomware Angriff auf Medizintechnik-Unternehmen Fresenius Kabi

Eine erst kürzlich entdeckte Art von Malware

Von unserem Gastautor Chris Sherry, Regional VP, DACH, Forescout Technologies Inc.

[datensicherheit.de, 12.05.2020] Fresenius ist ein deutsches Medizintechnikunternehmen, das Krankenhäuser betreibt und verschiedene medizintechnische Produkte und Dienstleistungen, unter anderem für kritisch und chronisch kranke Menschen, produziert und entwickelt. Die Tochtergesellschaft Fresenius Kabi betreibt Niederlassungen z.B. in den USA und im norwegischen Halden. Die norwegische Arzneimittelfabrik fiel im Mai 2020 einer Ransomware-Attacke zum Opfer.

Chris Sherry, Regional VP, DACH, Forescout Technologies Inc., Bild: Forescout

Vereinzelte Produktionseinschränkungen

Die Ransomware führte zu vereinzelten Produktionseinschränkungen im Unternehmen. Fresenius hat frühzeitig dafür gesorgt, dass die Patientenversorgung nicht gefährdet wird. Bei dem Angriff scheint es sich um die relativ neue Ransomware Snake (auch „Ekans“ genannt) zu handeln. Fresenius-Sprecher Matt Kuhn, Senior Director Communications & Government Affairs bei der US-Tochtergesellschaft Fresenius Kabi LLC, teilte Brian Krebs mit: „Auch wenn einige Funktionen innerhalb des Unternehmens derzeit eingeschränkt sind, wird die Patientenversorgung fortgesetzt. Unsere IT-Experten arbeiten weiter daran, das Problem so schnell wie möglich zu lösen und einen möglichst reibungslosen Betrieb zu gewährleisten.“

Hintergrund Ransomware Snake/Ekans

Snake/Ekans ist eine erst kürzlich entdeckte Art von Ransomware, die speziell auf industrielle Steuerungssysteme und deren Soft- und Hardware abzielt, die in allen Bereichen von Ölraffinerien bis hin zu Stromnetzen und Produktionsanlagen eingesetzt werden. Ähnlich wie andere Lösegeldforderungen verschlüsselt sie Daten und zeigt den Opfern eine Notiz an, in der sie eine Zahlung für die Freigabe der Daten verlangen. Die Ransomware ist darauf ausgelegt, 64 verschiedene Softwareprozesse auf den Computern der Opfer zu beenden. Darunter sind viele, die spezifisch für industrielle Steuerungssysteme sind. Sie kann dann die Daten verschlüsseln, mit denen diese Steuerungssystemprogramme interagieren. Snake/Ekans gilt als Nachfolger der als MegaCortex bekannten Schadsoftware, die dieselben prozessstoppenden Eigenschaften innerhalb von industriellen Steuerungssystemen hat. Da MegaCortex jedoch auch Hunderte anderer Prozesse beendet, sind seine auf industrielle Steuerungssysteme ausgerichteten Funktionen weitgehend übersehen worden.

Tipps zur Verbesserung der Sicherheit von IT- und OT-Systemen:

• Patch Management: Entwickeln Sie eine Patching-Strategie, die Anforderungen an Priorisierung, Standardisierung und Prävention festlegt. Wählen Sie ein Tool, mit dem zu patchende Anlagen nahezu in Echtzeit identifiziert werden können.
• Sicherung kritischer Assets: Testen Sie Backups routinemäßig auf Datenintegrität, um sicherzustellen, dass Sie aus ihnen intakte Daten wiederherstellen können
• Minimierung der Angriffsvektoren: Wenn alle Systeme miteinander verbunden sind, gibt es mehrere Endpunkte, über die sich ein Hacker leicht Zugang verschaffen kann. Wenn sie richtig segmentiert sind, wird die Anzahl an Endpunkten erheblich reduziert, wodurch diese leichter vor Bedrohungen geschützt werden können.
• Überwachung des Datenverkehrs: Die Beschränkung des OT-Netzwerkverkehrs auf Protokolle, die von kritischen Infrastrukturen verwendet werden, reduziert das Potenzial für verlorene Pakete sowie ungeplante Ausfallzeiten. IT-Protokolle neigen dazu, eine höhere Bandbreite und mehr Ressourcen zu verbrauchen, wodurch die Kommunikation zwischen kritischen Infrastruktursystemen unterbrochen werden kann.
• Zugangsverwaltung: Eine Vielzahl an Beteiligten benötigt Zugang zu verschiedenen Geschäftssystemen. Zusätzlich zur Beschränkung der Zugangspunkte trägt die Segmentierung dazu bei, eine höhere Sicherheit in Bezug auf den autorisierten Netzzugang zu gewährleisten.
• Isolierung von Bedrohungen: Wenn ein Asset kompromittiert wird, minimiert die Segmentierung die Auswirkungen auf die breitere Organisation.
• Kontinuierliche Überwachung des OT-Netzwerks: Automatisierte, agentenlose Tools, die kontinuierlich und passiv nach Bedrohungen suchen, haben sich als bevorzugte Schutzstrategien im Umgang mit einer sich ständig weiterentwickelnden Bedrohungslandschaft im Bereich der Cybersicherheit erwiesen.

Fazit

Immer mehr IT-Organisationen stehen vor der Herausforderung, nicht nur die IT-Umgebung, sondern auch die industrielle Betriebstechnik (OT) zu sichern. Technologien von Unternehmen wie Forescout bieten eine Cloud-basierte Lösung für die unternehmensweite Netzwerksegmentierung. Die Software hilft, die Sicherung kritischer Anwendungen zu erleichtern, die Anfälligkeit gemischter IT/OT-Umgebungen zu verringern und die Auswirkungen von Angriffen auf das Netzwerk zu begrenzen. Diese Lösungen ermöglichen es Unternehmen, ihre Netzwerksegmentierung zu definieren und zu implementieren. Dazu gehören komplexe Unternehmensnetzwerke, Rechenzentren, Clouds und OT-Umgebungen.

Weitere Informationen zum Thema:

datensicherheit.de, 11.05.2020
Schutz vor Ransomware: Datenwiederherstellung als Schlüsselelement

datensicherheit.de, 07.05.2020
Kommentar zum Ransomware-Angriff auf Fresenius