Meldung

Malware greift Biotechnologie-Unternehmen an

Biotech-Unternehmen sollten ihre Produktionsnetzwerke, von denen viele für die Herstellung von wichtigen Medikamenten oder Impfstoffen genutzt werden, auf Anzeichen für einen neu entdeckten, hochentwickelten Angriff zum Diebstahl von geistigem Eigentum überprüfen. Die zugrundeliegende Malware zeigt sich flexibel und agiert autonom, also auch ohne Command-and-Control-Server.
Laut dem Bioeconomy Information Sharing and Analysis Center (BIO-ISAC) verbreiten sich die "Tardigrade" (Bärtierchen) genannten Angriffe derzeit innerhalb der Branche. Die Malware ist in hohem Maße konfigurierbar, passt sich an die Umgebung an, die sie infiziert hat, und kann autonom agieren, wenn sie vom Command-and-Control-Server der Angreifer abgeschnitten wird.

Das BIO-ISAC-Mitglied BioBright untersuchte im Frühjahr und im Oktober Angriffe auf zwei Anlagen. Beide meldeten zunächst Ransomware-Angriffe auf ihre jeweiligen Netzwerke. Dies stellt angesichts der lauten Natur von Ransomware-Angriffen, die in krassem Gegensatz zur inhärenten Heimlichkeit der Malware stehen, eine ungewöhnliche Vorgehensweise dar. BIO-ISAC hat diese Woche einige technische Details veröffentlicht und weist darauf hin, dass die Angriffe andauern. Deshalb seien insbesondere Biotechnologie-Unternehmen zu besonderer Wachsamkeit aufgerufen.

"Dieser Angriff zeigt die Kreativität und die enormen Anstrengungen von Angreifern, industrielle Ziele in mehrfacher Hinsicht anzugreifen: Zum einen mit einem destruktiven Element in Form von Ransomware-Attacken, zum anderen mit einem geschickt getarnten Angriff, um geistiges Eigentum wie Forschungsergebnisse und Produktionsgeheimnisse zu entwenden", erklärt Max Rahner, Sales Director DACH des Industrial-Cybersecurity-Spezialisten Claroty [1].

"Glücklicherweise ist in der Biotechnologie das Bewusstsein für industrielle Cybersicherheit nicht zuletzt aufgrund zahlreicher Compliance-Anforderungen relativ hoch. Und dennoch waren die Angreifer erfolgreich. Es ist zu befürchten, dass auch andere Branchen auf ähnliche Weise angegriffen werden, in denen das Sicherheitsniveau und die Transparenz in die eigenen Systeme noch nicht so ausgeprägt ist – mit möglicherweise gravierenden Folgen."

Fortschrittliche und flexible Malware
Tardigrade ist polymorphe Malware. Hierbei handelt es sich um eine fortschrittliche Malware-Technik, bei der sich der Code je nach Umgebung ändert, um einer Entdeckung zu entgehen. Einem Artikel in Wired [2] zufolge sagte eine BioBright-Analystin, sie habe Dutzende von Tests mit der Malware durchgeführt, und jedes Mal sei sie anders kompiliert worden und habe immer auf unterschiedliche Weise mit den Command-and-Control-Servern kommuniziert.

Wird dieser Hintertür-Zugang abgeschnitten, kann die Malware trotzdem weiterhin ihre Payloads bereitstellen. Polymorphe Malware ist fortschrittlich, aber nicht ungewöhnlich. Tardigrade zeichnet sich jedoch dadurch aus, dass es nach Angaben von BIO-ISAC in der Lage ist, seinen Loader aus dem Speicher neu zu kompilieren und keine einheitliche Signatur zu hinterlassen. Dies erschwert eine Erkennung erheblich.

Multiple Infektionsvektoren
Die Malware wird über zahlreiche Vektoren verbreitet, darunter Phishing-E-Mails und infizierte USB-Laufwerke. Sie verwendet als Malware-Loader "SmokeLoader" oder "Dofoil", um Module auf kompromittierten Computern einzuschleusen, darunter Keylogger und Dienstprogramme zum Stehlen von Passwörtern. Außerdem schafft sie eine Backdoor-Verbindung, die es ermöglicht, Dateien und Befehle vom Server des Angreifers herunterzuladen, weitere Angriffsmodule zu installieren und im Netzwerk verborgen zu bleiben.

Der Zweck der Angriffe ist der Diebstahl von Forschungsergebnissen und Verfahren. BioBright und BIO-ISAC gehen davon aus, dass es sich um die Arbeit einer Advanced Persistent Threat (APT)-Gruppe handelt, die wahrscheinlich von staatlicher Seite unterstützt wird. Die Sicherheitsforscher von Claroty empfehlen zusätzlich zu den Hinweisen von BIO-ISAC folgende Maßnahmen:
  • Biotech-Unternehmen sollten ihre Netzwerke umgehend auf Indikatoren einer Kompromittierung untersuchen, die auf eine Tardigrade-Infektion hindeuten.
  • Eine adäquate Netzwerksegmentierung ist für Betreiber von Industrienetzwerken ein wichtiger Schritt zur Schadensbegrenzung – auch bei der Abwehr von Tardigrade. Betriebstechnik (OT)-Netzwerke sollten von Unternehmensnetzwerken (IT) segmentiert werden. Sämtliche Schnittstellen zwischen IT und OT müssen genau überwacht werden. Insbesondere sollten der Datenverkehr und OT-spezifische Protokolle überprüft werden, um abnormales Verhalten zu identifizieren.
  • Transparenz beim Fernzugriff ist von größter Bedeutung. Diese Verbindungen müssen überwacht und auf anormale Aktivitäten geprüft werden. Unternehmen sollten keine geteilten Passwörter verwenden und eine Zwei-Faktor-Authentifizierung einsetzen. Zudem sollten sichere Fernzugriffslösungen nicht nur vor verdächtigen Aktivitäten warnen, sondern auch die Möglichkeit bieten, bestimmte Sitzungen entweder live oder bei Bedarf zu untersuchen. Administratoren müssen in der Lage sein, Sitzungen zu unterbrechen oder andere Maßnahmen zur Schadensbegrenzung oder -behebung zu ergreifen.
26.11.2021/dr

Tipps & Tools

Mehr Cloudsicherheit durch Zero-Trust-Segmentierung [27.01.2022]

Immer neue erfolgreiche Ransomware-Attacken lassen nicht zuletzt angesichts des oft enormen materiellen Schadens aufhorchen, den ihre Opfer erleiden – und der sich für die betroffenen Organisationen bis zur Überlebensfrage ausweiten kann. Eine junge Verteidigungsstrategie gegen die Erpresser ist die Zero-Trust-Segmentierung, die unser Fachartikel vorstellt. Dabei erfahren Sie unter auch, wie es die Mikrosegmentierung im Zusammenspiel mit einer Livekarte vermag, den modernen Cybergefahren mehr Granularität und Flexibilität entgegenzusetzen, als das die traditionellen Werkzeuge schaffen. [mehr]

KMU-Strategien gegen Ransomware [20.01.2022]

Kriminelle finden immer schneller Möglichkeiten, um mit Ransomware und vielen anderen Angriffsarten Sicherheitsvorkehrungen zu knacken – und haben damit bei zahlreichen KMU leichteres Spiel, die mit der Planung und Ausführung entsprechender IT-Sicherheitsmaßnahmen hinterhinken. Deshalb thematisiert unser Onlinebeitrag unter anderem, wie sich Mittelständler aus einer riskanten abwartenden Haltung befreien und sich mit der richtigen Cybersecurity-Strategie vor Bedrohungen aus dem Netz schützen. [mehr]

Fachartikel

Mehr Cloudsicherheit durch Zero-Trust-Segmentierung [26.01.2022]

Die jüngsten Ransomware-Attacken lassen aufhorchen. Über Nacht wurden gut aufgestellte Firmen zu Fall gebracht und Millionenwerte vernichtet. Gerade wenn sich Lieferverträge in einer Just-in-time-Lieferkette nicht einhalten lassen, gerät der entstandene Schaden schnell zu einer Überlebensfrage. Warum Zero-Trust-Segmentierung der neue Standard gegen Erpresser ist und im Zusammenspiel mit einer Livekarte dabei hilft, Risiken zu minimieren und Applikationen gegen Angriffe zu sichern, verdeutlicht dieser Fachartikel. [mehr]

Buchbesprechung

Datenschutz im Unternehmen

von Michael Wächter

Anzeigen