{"id":18804,"date":"2019-03-21T12:13:39","date_gmt":"2019-03-21T10:13:39","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=18804"},"modified":"2019-11-22T12:08:49","modified_gmt":"2019-11-22T10:08:49","slug":"hydro-attacked-by-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/hydro-attacked-by-ransomware\/18804\/","title":{"rendered":"Ransomware legt Alu-Riese Norsk Hydro lahm"},"content":{"rendered":"

In den letzten Jahren haben wir immer wieder von zahlreichen Vorf\u00e4llen berichtet, bei denen Einrichtungen und Organisationen wie Krankenh\u00e4user<\/a>, st\u00e4dtische Transportmittel<\/a> oder sogar Regierungscomputer<\/a> eines ganzen Landkreises von Ransomware ins Visier genommen wurden. Darauf folgte mit Epidemien wie WannaCry<\/a>, ExPetr<\/a> und BadRabbit<\/a> das Zeitalter der Wiper, die sich weltweit ausbreiteten und den Gesch\u00e4ftsbetrieb zahlreicher Unternehmen ruinierten.<\/p>\n

Gl\u00fccklicherweise gab es in den letzten 12 Monaten keine Ereignisse dieser Gr\u00f6\u00dfenordnung, was \u00fcbrigens nicht daran liegt, dass Cyberkriminelle diesbez\u00fcglich die Flinte ins Korn geworfen haben. Denn am 19. M\u00e4rz gab der norwegische Aluminiumproduzent Hydro bekannt, dass das gesamte Unternehmen Ransomware zum Opfer gefallen<\/a> war.<\/p>\n

Der Angriff auf Hydro: Das ist passiert<\/strong><\/h2>\n

Auf einer Pressekonferenz gab ein Sprecher des Unternehmens bekannt, dass Hydros Sicherheitsteam gegen Mitternacht erstmals ungew\u00f6hnliche Aktivit\u00e4ten auf den Servern der Firma festgestellt hatte. Obwohl die Experten versuchten, eine weitere Ausbreitung der Infektion zu verhindern, hatten sie dabei leider nur m\u00e4\u00dfigen Erfolg. Bis die Experten Teile der Anlage isoliert hatten, war das globale Unternehmensnetzwerk bereits infiziert. Zwar \u00e4u\u00dferte sich Hydro nicht zu der Anzahl der letztendlich betroffenen Rechner, aber bei einem Unternehmen, das 35.000 Mitarbeiter besch\u00e4ftigt, k\u00f6nnen Sie sich das Ausma\u00df des Vorfalls in etwa ausmalen.<\/p>\n

Selbstverst\u00e4ndlich arbeitet das Team von Hydro rund um die Uhr an der Minimierung der Folgen des Angriffs und konnte dabei bislang zumindest einen Teilerfolg erzielen. So war beispielsweise keines der Kraftwerke von dem Vorfall betroffen, da diese vom Hauptnetz isoliert waren \u2013 eine bew\u00e4hrte Methode, vor allem f\u00fcr kritische Infrastrukturen. Die Schmelzwerke hingegen waren nicht isoliert; In den letzten Jahren hatten sie dar\u00fcber hinaus einen signifikanten Automatisierungsprozess durchgemacht. Einige der in Norwegen betroffenen Schmelzanlagen konnte das Sicherheitsteam erneut vollst\u00e4ndig funktionsf\u00e4hig machen. Dennoch \u201everursachte die mangelnde F\u00e4higkeit<\/a>, eine Verbindung zu den Produktionssystemen herzustellen, deutliche Produktionsherausforderungen und zeitweilige Arbeitsausf\u00e4lle mehrerer Werke.\u201c<\/p>\n

Trotz seines enormen Umfangs konnte der Angriff den Unternehmensbetrieb nicht vollst\u00e4ndig au\u00dfer Kraft setzen. Obwohl zahlreiche Windows-Ger\u00e4te verschl\u00fcsselt und somit unbrauchbar gemacht wurden, funktionierten die nicht windowsbasierten Telefone und Tablets weiterhin, wodurch die Mitarbeiter in der Lage waren, auf notwendige Gesch\u00e4ftsanforderungen zu reagieren. Die mit hohen Kosten verbundene kritische Infrastruktur, wie zum Beispiel B\u00e4der f\u00fcr die Aluminiumproduktion, die jeweils rund 10 Millionen Euro kosten, scheinen nicht von dem Angriff betroffen zu sein. Tats\u00e4chlich hofft Hydro darauf, dass alle verschl\u00fcsselten Daten aus fr\u00fcheren Backups wiederhergestellt werden k\u00f6nnen.<\/p>\n

Analyse: Richtig und falsch<\/strong><\/h3>\n

Hydro hat mit gro\u00dfer Wahrscheinlichkeit noch einen sehr langen Weg vor sich, bis der urspr\u00fcngliche Unternehmensbetrieb vollst\u00e4ndig wiederhergestellt werden kann. Selbst die Vorfallsanalyse- und -untersuchung, wird sowohl Hydro als auch die norwegischen Beh\u00f6rden ohne Frage noch sehr viel Zeit und M\u00fche kosten. Bislang ist nicht klar, welche Ransomware f\u00fcr den Angriff verwendet wurde und von wem dieser ausging.<\/p>\n

Die Beh\u00f6rden haben diesbez\u00fcglich mehrere Hypothesen aufgestellt: so vermuten sie zum Beispiel die Ransomware LockerGoga hinter der Attacke; die Website Bleeping Computer<\/em>\u00a0beschreibt<\/a> die Ransomware als \u201elangsam\u201c (unsere Analysten stimmen dieser Beschreibung zu) und \u201eschludrig\u201c, die sich \u201ekeine M\u00fche gibt, eine m\u00f6gliche Erkennung zu verhindern\u201c. Eine exakte Geldsumme war in der L\u00f6segeldforderung selbst nicht angegeben, stattdessen enthielt sie lediglich eine Kontaktadresse der Cyberkriminellen.<\/p>\n

Obwohl die Vorfallsanalyse noch nicht abgeschlossen ist, k\u00f6nnen wir bereits dar\u00fcber sprechen, was Hydro sowohl vor als auch w\u00e4hrend des Angriffs falsch und richtig gemacht hat.<\/p>\n

Richtig:<\/strong><\/p>\n

    \n
  1. Die Kraftwerke waren vom Hauptnetzwerk isoliert und konnten so vor dem Angriff gesch\u00fctzt werden.<\/li>\n
  2. Dem Sicherheitsteam gelang es, die Schmelzwerke relativ schnell zu isolieren; auf diese Weise konnte ein Arbeitsausfall, zumindest in diesem Bereich, verhindert werden.<\/li>\n
  3. Den Mitarbeitern war auch nach dem Vorfall eine ganz normale Kommunikation m\u00f6glich, was bedeutet, dass der Kommunikationsserver wahrscheinlich ausreichend gesch\u00fctzt und nicht von der Infektion betroffen ist.<\/li>\n
  4. Hydro verf\u00fcgt \u00fcber Backups, die eine Wiederherstellung der verschl\u00fcsselten Daten und somit des normalen Unternehmensbetriebs erm\u00f6glichen sollten.<\/li>\n
  5. Hydro hat selbstverst\u00e4ndlich eine Cyberversicherung, die einige der Kosten, die aus dem Vorfall entstanden sind, \u00fcbernehmen sollte.<\/li>\n<\/ol>\n

    Falsch:<\/strong><\/p>\n

      \n
    1. Das Netzwerk war m\u00f6glicherweise nicht angemessen segmentiert, ansonsten w\u00e4re es deutlich einfacher gewesen, die Ransomware an einer weiteren Ausbreitung zu hindern und den Angriff auf diese Weise einzud\u00e4mmen.<\/li>\n
    2. Die von Hydro verwendete Sicherheitsl\u00f6sung war nicht robust genug, um die Ransomware abzufangen (obwohl LockerGoga relativ neu ist, ist sie unserer Kaspersky Security<\/a> unter Trojan-Ransom.Win32.Crypgen.afbf bestens bekannt).<\/li>\n
    3. Die Sicherheitsl\u00f6sung h\u00e4tte durch eine Antiransomware-Software \u2013 wie unserem kostenlosen Kaspersky Anti-Ransomware-Tool <\/a> \u2013 erg\u00e4nzt werden k\u00f6nnen, welches neben anderen Sicherheitsl\u00f6sungen installiert werden kann und das System vor Ransomware, Minern, etc. sch\u00fctzen kann.<\/li>\n<\/ol>\n\n","protected":false},"excerpt":{"rendered":"

      Industrie-Riese Norsk Hydro von Ransomware getroffen \u2013 unsere Sicherheitsanalyse des Vorfalls <\/p>\n","protected":false},"author":675,"featured_media":18805,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3108],"tags":[3042,1114,535,2147],"class_list":{"0":"post-18804","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-cryptoren","10":"tag-kritische-infrastruktur","11":"tag-ransomware","12":"tag-verschlusseler"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/hydro-attacked-by-ransomware\/18804\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/hydro-attacked-by-ransomware\/15429\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/hydro-attacked-by-ransomware\/12994\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/hydro-attacked-by-ransomware\/17373\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/hydro-attacked-by-ransomware\/15522\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/hydro-attacked-by-ransomware\/14211\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/hydro-attacked-by-ransomware\/18059\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/hydro-attacked-by-ransomware\/17052\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/hydro-attacked-by-ransomware\/22421\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/hydro-attacked-by-ransomware\/5803\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/hydro-attacked-by-ransomware\/26028\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/hydro-attacked-by-ransomware\/11536\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/hydro-attacked-by-ransomware\/11603\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/hydro-attacked-by-ransomware\/10489\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/hydro-attacked-by-ransomware\/22817\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/hydro-attacked-by-ransomware\/23880\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/hydro-attacked-by-ransomware\/18119\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/hydro-attacked-by-ransomware\/22304\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/hydro-attacked-by-ransomware\/22236\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/ransomware\/","name":"Ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/18804","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/675"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=18804"}],"version-history":[{"count":7,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/18804\/revisions"}],"predecessor-version":[{"id":20882,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/18804\/revisions\/20882"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/18805"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=18804"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=18804"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=18804"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}