So gefährlich ist die neue Ekans-Ransomware

Nachdem Ende Januar mit Ekans eine neue Art der Ransomware entdeckt wurde, gab es einige Berichte, welche die Eigenschaften der Malware beschrieben. Eines der markantesten Merkmale war laut vielen Nachrichten der direkte Angriff von industriellen Kontrollsystemen (ICS). Neue Erkenntnisse eines Forscherteams des Cybersicherheits-Unternehmens Claroty zeigen jedoch, dass diese Annahme falsch ist. Ein Grund zur Entwarnung sei das allerdings nicht, so die Forscher. Durch die steigende Angleichung von IT- und industriellen Netzwerken käme es zur verstärkten Gefahr von Kollateralschäden durch das Übergreifen auf Produktionsstätten (Spillover-Effekt).

Anders als ICS-spezifische Schadsoftware wie Industroyer oder BlackEnergy kann Ekans nicht direkt mit ICS-Geräten kommunizieren, da die nötigen Kommunikationsprotokolle fehlen. Die Häufigkeit von ICS-Prozessen in der Ekans-Kill-Liste legt jedoch die Schlussfolgerung nahe, dass die Ziele der Ransomware genau diese ICS-Vorgänge sind. Ekans will diese allerdings nicht ohne Umweg unterbinden, sondern arbeitet mit einem anderen Ansatz. Zuerst wird das gesamte IT-Netzwerk eines Unternehmens angegriffen, die anschliessende Störung der ICS-Netzwerke ist nur als Nebenprodukt der Ekans-Ransomware zu begreifen und entsteht über die Schnittstellen zwischen IT- und OT-Netzwerk.

Die Forscher mutmassen, Ekans könnte ein Vorbote zukünftiger Ransomware sein. Während aktuell der direkte Angriff von ICS-Netzwerken kaum möglich ist, kann eine Gefährdung der OT-Netzwerke nicht nur Daten, sondern auch die Sicherheit von Menschen bedrohen. In nächster Zeit ist eine derartige Schadsoftware eine realistische Bedrohung für die Sicherheit von Unternehmen.