Technologie
Produkte
Infomaterial
Unternehmen
Deutsch
Technologie
Produkte
Blog
Infomaterial
Unternehmen

Wie KI kritische Infrastrukturen gegen Ransomware schützt

David Masson, Director of Enterprise Security | Donnerstag, 13. Mai 2021

Auf der RSA-Cybersicherheitskonferenz 2021 äußerte Alejandro Mayorkas, US-Minister für Heimatschutz, sich wegweisend zur Lage der Sicherheit des Cyberspace: „Lassen Sie es mich klar sagen: Ransomware stellt inzwischen eine Gefahr für die nationale Sicherheit dar.“

Das letzte Wochenende sollte Mayorkas’ Worte nur allzu deutlich unterstreichen. Ein Ransomware-Angriff auf die Colonial Pipeline – zuständig für fast die Hälfte der Diesel-, Benzin- und Kerosinversorgung an der US-Ostküste – führte zur Abschaltung eines kritischen Versorgungsnetzes, das mehrere östliche Bundesstaaten beliefert.

Die Auswirkungen des Angriffs haben aufgezeigt, wie weitreichend und schwerwiegend die Folgen von Ransomware sein können. Cyberangriffe auf kritische Infrastrukturen und Versorgungsunternehmen stellen eine potenzielle Bedrohung für Versorgungssicherheit, Umwelt und sogar Menschenleben dar.

Die genauen Details stehen noch aus, doch soll der Angriff, bei dem wahrscheinlich gängige Remote-Desktop-Tools genutzt wurden, von einer Teilorganisation der kriminellen Hackergruppe „DarkSide“ durchgeführt worden sein. Der Fernzugriff wurde als ausnutzbare Schwachstelle innerhalb kritischer Infrastrukturen durch die Umstellung auf das Arbeiten im Homeoffice ermöglicht, die viele Organisationen im letzten Jahr vorgenommen haben, und unter denen viele industrielle Kontrollsysteme (ICS) oder Operational Technology (OT) nutzen.

Die Zunahme industrieller Ransomware

Ransomware in Industrieumgebungen ist auf dem Vormarsch: Bei den gemeldeten Vorfällen ist seit 2018 ein Anstieg von 500% zu verzeichnen. Oftmals nutzen diese Bedrohungen die Konvergenz von IT- und OT-Systemen aus und zielen zunächst auf die IT ab, bevor sie zur OT übergehen. Dieses Vorgehen war bei der Ransomware EKANS zu beobachten, die ICS-Prozesse in ihre „Kill-Liste“ aufnahm, aber auch bei der Ransomware Cring, die ICS kompromittierte, nachdem sie zunächst eine Schwachstelle in einem virtuellen privaten Netzwerk (VPN) ausgenutzt hatte.

Es bleibt noch zu klären, ob der ursprüngliche Angriffsvektor bei Colonial Pipeline eine technische Schwachstelle oder kompromittierte Anmeldedaten ausgenutzt hat oder ob es eine gezielte Spear-Phishing-Kampagne gab. Berichten zufolge zielte der Angriff zuerst auf die IT-Systeme ab, woraufhin Colonial Pipeline dann aus Sicherheitsgründen die OT herunterfuhr. Colonial Pipeline bestätigt, dass die Ransomware „den gesamten Pipeline-Betrieb vorübergehend zum Stillstand gebracht und einige unserer IT-Systeme beeinträchtigt hat“, was zeigt, dass letztlich sowohl OT als auch IT betroffen waren. Dies ist ein sehr anschauliches Beispiel dafür, wie viele OT-Systeme von der IT abhängen, sodass bei einem IT-Cyberangriff potenziell auch OT- und ICS-Prozesse lahmgelegt werden können.

Den Angreifern gelang es nicht nur, Systeme von Colonial Pipeline zu blockieren, sondern sie konnten auch 100GB an sensiblen Daten stehlen. Solche Doppelerpressungsangriffe, bei denen Daten ausgeschleust und anschließend die Dateien verschlüsselt werden, sind mittlerweile leider eher die Regel als die Ausnahme: Über 70% der Ransomware-Angriffe gehen mit einer Datenausschleusung einher. Einige Ransomware-Banden haben sogar angekündigt, dass sie die Verschlüsselung ganz aufgeben und stattdessen auf Datendiebstahl und Erpressungsmethoden setzen wollen.

Zu Beginn dieses Jahres wehrte Darktrace einen Ransomware-Angriff mit doppelter Erpressung ab, der sich gegen eine Organisation mit kritischer Infrastruktur richtete und ebenfalls gängige Fernzugriffstools nutzte. In diesem Blogartikel wird der Angriff detailliert beschrieben und aufgezeigt, wie die selbstlernende KI von Darktrace autonom auf einen Angriff reagierte, der verblüffende Ähnlichkeiten mit dem Vorfall bei Colonial Pipeline aufweist.

Aufspürung des Angriffs durch Darktrace

Ransomware gegen Anbieter von Stromversorgungsanlagen

Bei einem Angriff auf einen nordamerikanischen Ausrüstungslieferanten für Stromversorger zu Beginn des Jahres hat das Industrial Immune System von Darktrace seine Fähigkeit unter Beweis gestellt, kritische Infrastrukturen vor „Double Extortion“-Ransomware schützen, die es auf Unternehmen mit ICS und OT abgesehen hat.

Der Ransomware-Angriff zielte zunächst auf IT-Systeme ab und konnte dank der selbstlernenden Cyber-KI gestoppt werden, bevor er auf die OT übergreifen und den Betrieb beeinträchtigen konnte.

Der Angreifer kompromittierte zunächst einen internen Server, um über 12 Stunden hinweg Daten zu exfiltrieren und Erpressungstrojaner zu verteilen. Die kurze Zeitspanne zwischen der ersten Kompromittierung und dem Einsatz ist ungewöhnlich, da solche Trojaner oft mehrere Tage warten, um sich heimlich so weit wie möglich über das Cyber-Ökosystem zu verbreiten, bevor sie zuschlagen.

Abbildung 1: Zeitlicher Ablauf des Angriffs

Wie hat der Angriff den Rest der Firewall umgangen?

Der Angreifer nutzte „Living off the Land“-Techniken, um sich in die normalen „Patterns of Life“ des Unternehmens einzuschleichen. Damit er unentdeckt blieb, verwendete er kompromittierte Admin-Anmeldedaten und ein vom Unternehmen genehmigtes Remote-Management-Tool.

Der Missbrauch legitimer Remote-Management-Software ist unseren Erfahrung nach häufig Bestandteil der Methoden, Taktiken und Verfahren von Angreifern. Auch der Fernzugriff wird, gerade bei ICS-Angriffen, zunehmend als Einfallstor genutzt. Bei dem Cyberangriff auf eine Wasseraufbereitungsanlage in Florida im Februar letzten Jahres nutzten Hacker beispielsweise Schwachstellen eines Remote-Management-Tools und versuchten, den Aufbereitungsprozess zu manipulieren.

Der hier eingesetzte spezielle Ransomware-Stamm entging auch erfolgreich der Erkennung durch Antivirenprogramme, indem er bei der Verschlüsselung von Dateien eine spezielle Dateierweiterung verwendete. Diese Formen von „signaturloser“ Ransomware schleichen sich unerkannt an herkömmlichen Sicherheitsansätzen vorbei, die sich auf Regeln, Signaturen, Bedrohungsmeldungen und Listen häufiger Schwachstellen und Anfälligkeiten (CVE) stützen, da sich mit diesen Methoden nur zuvor dokumentierte Bedrohungen erkennen lassen.

Die einzige Möglichkeit, bis dato unbekannte Bedrohungen wie signaturlose Ransomware zu erkennen, besteht darin, dass eine Technologie anormales Verhalten aufspürt, anstatt sich auf Listen mit „bekannten Schädlingen“ zu verlassen. Dies kann mit selbstlernender Technologie erreicht werden, die selbst die subtilsten Abweichungen von den normalen „Patterns of Life“ aller Geräte und Benutzer sowie sämtlicher Verbindungen zwischen diesen erkennt.

Darktrace Insights

Erste Kompromittierung und Einnistung

Trotz des Missbrauchs eines legitimen Tools und des Fehlens bekannter Signaturen konnte das Industrial Immune System von Darktrace seinen ganzheitlichen Blick auf normale Aktivitäten nutzen, um bösartige Prozesse an mehreren Punkten im Verlauf des Angriffs zu erkennen.

Das erste eindeutige Anzeichen für eine aufkommende Bedrohung, das von Darktrace gemeldet wurde, war die ungewöhnliche Verwendung privilegierter Anmeldedaten. Das Gerät stellte außerdem kurz vor dem Vorfall eine ungewöhnliche RDP-Verbindung (Remote Desktop Protocol) von einem Veeam-Server aus her, was auf eine laterale Bewegung des Angreifers im Netzwerk hindeutet.

Drei Minuten später initiierte das Gerät eine Remote-Management-Sitzung, die 21 Stunden dauerte. So konnte sich der Angreifer im gesamten Cyber-Ökosystem bewegen und blieb dabei von herkömmlichen Abwehrmaßnahmen unentdeckt. Darktrace war jedoch in der Lage, eine ungewöhnliche Remote-Management-Nutzung als weiteres Frühwarnzeichen für einen Angriff zu erkennen.

Doppelte Bedrohung Teil 1: Exfiltration von Daten

Eine Stunde nach der ersten Kompromittierung entdeckte Darktrace ungewöhnliche Datenmengen, die allesamt an eine sehr selten genutzte Cloud-Speicherlösung (pCloud) gesendet wurden. Die ausgehenden Daten wurden zwar mit SSL verschlüsselt, doch Darktrace meldete mehrfach große interne Downloads und externe Uploads, die eine erhebliche Abweichung von den üblichen „Patterns of Life“ des Geräts darstellten.

Das Gerät setzte die Datenexfiltration weitere neun Stunden fort. Eine Analyse der vom Gerät heruntergeladenen Dateien, die über das unverschlüsselte SMB-Protokoll übertragen wurden, deutet darauf hin, dass es sich um sensible Dateien handelte. Glücklicherweise war Darktrace in der Lage, die genauen Dateien zu lokalisieren, die exfiltriert wurden, sodass der Kunde die möglichen Auswirkungen der Kompromittierung sofort einschätzen konnte.

Doppelte Bedrohung Teil 2: Dateiverschlüsselung

Kurze Zeit später, um 01:49 Uhr Ortszeit, begann das kompromittierte Gerät, Dateien in einem gemeinsam genutzten SharePoint-Backup-Laufwerk zu verschlüsseln. In den nachfolgenden dreieinhalb Stunden verschlüsselte das Gerät über 13.000 Dateien auf mindestens 20 SMB-Freigaben. Insgesamt erzeugte Darktrace 23 Alarme für das betreffende Gerät, was 48% aller Alarmmeldungen in dem entsprechenden 24-Stunden-Zeitraum ausmachte.

Der Cyber AI Analyst von Darktrace leitete dann automatisch eine Untersuchung ein, die zur Identifizierung der internen Datenübertragungen und der Dateiverschlüsselung über SMB führte. Auf dieser Grundlage konnte der Cyber AI Analyst Vorfallsberichte erstellen, die einen roten Faden bei scheinbar unzusammenhängenden Anomalien im Sicherheitsgeschehen erkennen ließen. Dies versetzte das Sicherheitsteam in die Lage, sofort Abhilfemaßnahmen zu ergreifen.

Hätte der Kunde Antigena Network, die autonome Autonomous Response-Technologie von Darktrace, verwendet, wäre die Aktivität zweifellos noch vor der Ausschleusung größerer Datenmengen oder der Verschlüsselung von Dateien gestoppt worden. Glücklicherweise konnte der Kunde, nachdem er sowohl die Warnmeldungen als auch die Berichte des Cyber AI Analyst gesehen hatte, den „Ask the Expert“-Service (ATE) von Darktrace nutzen. Hier erhielt er Hilfe bei den Gegenmaßnahmen und der Wiederherstellung nach dem Angriff.

Abbildung 2: In diesem Beispiel erkennt der Cyber AI Analyst von Darktrace eine anormale Verschlüsselung und eine verdächtige Kette von ICS-Administrationsverbindungen

Erkennen der Bedrohung, bevor sie kritische Infrastrukturen beeinträchtigen kann

Der anvisierte Lieferant war für OT zuständig und verfügte über enge Verbindungen zu kritischen Infrastrukturen. Indem Darktrace frühzeitige Gegenmaßnahmen ermöglichte, konnte die weitere Ausbreitung der Ransomware auf die Produktion verhindert werden. Entscheidend ist, dass Darktrace auch die Betriebsunterbrechung minimierte und so einen möglichen Dominoeffekt verhinderte, welcher nicht nur den Lieferanten selbst, sondern auch die von ihm bedienten Stromversorger betroffen hätte.

Sowohl der jüngste Vorfall bei Colonial Pipeline als auch der obige Angriffsbericht zeigen, das Ransomware ein dringendes Problem für Organisationen ist, die industrielle Abläufe in sämtlichen kritischen Infrastrukturen überwachen, von Pipelines bis hin zum Stromnetz und dessen Zulieferern. Mit selbstlernender KI können diese Angriffsvektoren durch Echtzeit-Bedrohungserkennung, autonome Untersuchungen und – sofern aktiviert – gezielte, maschinelle Reaktionen angegangen werden, bevor der Schaden entsteht.

Ausblick: Einsatz selbstlernender KI zum Schutz kritischer Infrastrukturen in allen Bereichen

Ende April kündigte die Biden-Administration ein ehrgeiziges Projekt zum „Schutz der kritischen US-Infrastruktur vor anhaltenden und hochentwickelten Bedrohungen“ an. Der 100-Tage-Plan des US-Energieministeriums (DOE) sucht speziell nach Technologien, „die Cyber-Sichtbarkeit, Erkennung und Reaktionsmöglichkeiten für industrielle Kontrollsysteme von Stromversorgern bieten.“

Für den „Cyber Sprint“ der Biden-Administration ist eindeutig eine Technologie erforderlich, die kritische Energieinfrastrukturen schützt, statt nur Best-Practice-Maßnahmen oder Vorschriften vorzulegen. Wie wir im obigen Angriffsbericht gesehen haben, ist die Darktrace KI eine leistungsstarke Technologie, die unüberwachtes maschinelles Lernen nutzt, um kritische Infrastrukturen und deren Zulieferer extrem schnell und präzise autonom zu schützen.

Ziel der Cyber-Sprint-Strategie des DOEDarktrace Ressourcen
Ausbau der Erkennungs-, Schadensbegrenzungs- und Untersuchungsfähigkeiten.Erkennung ausgeklügelter und neuartiger Angriffe sowie von Insider-Bedrohungen und bereits bestehenden Infektionen durch selbstlernende Cyber-KI – ohne Regeln, Signaturen oder CVE-Listen.

Untersuchungen von Vorfällen in Echtzeit durch den Cyber AI Analyst, um Gegenmaßnahmen mit verwertbaren Erkenntnissen zu beschleunigen

Eindämmung aufkommender Angriffe bereits im Frühstadium, bevor sie zu einer Krise eskalieren.
Einsatz von Technologien und Systemen, die die Gefahrenerkennung und -bekämpfung in kritischen industriellen Steuerungssystemen (ICS) und Operational Technology (OT) nahezu in Echtzeit ermöglichen.Selbstlernende KI versteht, identifiziert und untersucht sofort alle verdächtigen Aktivitäten in ICS/OT-Netzwerken, unabhängig davon, ob sie von Menschen oder Maschinen verursacht werden.

Ergreift gegebenenfalls gezielte Maßnahmen, um Bedrohungen zu neutralisieren, entweder selbstständig oder nach manueller Bestätigung.

Selbstlernende KI passt sich an die Entwicklungen im Ökosystem an und ermöglicht so Echtzeitbeobachtung, ohne dass Anpassungen oder menschliches Eingreifen erforderlich sind.
Verbesserte Cybersicherheit für IT-Netzwerke in kritischen Infrastrukturen.Kontextualisiert Sicherheitsereignisse, passt sich an neue Methoden an und übermittelt Sicherheitserkenntnisse so, dass sie von Menschen innerhalb von Minuten umgesetzt werden können.

Einheitliche Ansicht über IT- und OT-Systeme hinweg.

Erkennt, untersucht und reagiert auf Bedrohungen auf höheren Purdue-Ebenen und in IT-Systemen, bevor sie in die OT übergreifen.
Einsatz von Technologien zur Erhöhung der Sichtbarkeit von Bedrohungen in ICS- und OT-Systemen.Die „Plug & Play“-Implementierung fügt sich nahtlos in die technische Architektur ein.

Präsentiert die 3D-Netzwerktopologie mit granularer Sichtbarkeit aller Benutzer, Geräte und Subnetze.

Die selbstlernende Asset-Identifikation katalogisiert kontinuierlich alle ICS/OT-Geräte.

Identifiziert und untersucht alle bedrohlichen Aktivitäten, die auf neue Angriffe hindeuten – unabhängig davon, ob es sich um ICS-Ransomware, APTs, Zero-Day-Exploits, Insider-Bedrohungen, bereits bestehende Infektionen, DDoS, Crypto-Mining, Fehlkonfigurationen oder völlig neuartige Angriffe handelt.

Vielen Dank an unseren Darktrace Analysten Oakley Cox für die Einblicke in diesen Bedrohungsvorfall.

Abweichungen von Darktrace Modellen:

  • Anfängliche Kompromittierung:
    • User / New Admin Credential on Client
  • Datenausschleusung:
    • Anomalous Connection / Uncommon 1 GiB Outbound
    • Anomalous Connection / Low and Slow Exfiltration
    • Device / Anomalous SMB Followed by Multiple Model Breaches
    • Anomalous Connection / Download and Upload
  • Dateiverschlüsselung:
    • Compromise / Ransomware / Suspicious SMB Activity
    • Anomalous Connection / SMB Enumeration
    • Device / Anomalous RDP Followed by Multiple Model Breaches
    • Anomalous File / Internal / Additional Extension Appended to SMB File
    • Anomalous Connection / Sustained MIME Type Conversion
    • Anomalous Connection / Suspicious Read Write Ratio
    • Device / Multiple Lateral Movement Model Breaches

David Masson

David Masson is Darktrace’s Director of Enterprise Security, and has over two decades of experience working in fast moving security and intelligence environments in the UK, Canada and worldwide. With skills developed in the civilian, military and diplomatic worlds, he has been influential in the efficient and effective resolution of various unique national security issues. David is an operational solutions expert and has a solid reputation across the UK and Canada for delivery tailored to customer needs. At Darktrace, David advises strategic customers across North America and is also a regular contributor to major international and national media outlets in Canada where he is based. He holds a master’s degree from Edinburgh University.