Da sich Ransomware-Infektionen von der reinen Verschlüsselung von Daten zu Schemata wie der doppelten und dreifachen Erpressung entwickelt haben, wird wahrscheinlich ein neuer Angriffsvektor die Bühne für zukünftige Kampagnen bereiten.
Forescout nennt sie Ransomware for IoT oder R4IoT und meint damit eine „neuartige Ransomware, die ein IoT-Gerät ausnutzt, um sich Zugang zu verschaffen, sich seitlich in einem IT-Netzwerk zu bewegen und das OT-Netzwerk zu beeinflussen“.
Dieser potenzielle Umschwung basiert auf dem rasanten Wachstum der Zahl der IoT-Geräte und der Konvergenz von IT- und OT-Netzwerken in Unternehmen.
Das ultimative Ziel von R4IoT ist es, ungeschützte und anfällige IoT-Geräte wie IP-Kameras auszunutzen, um zunächst Fuß zu fassen und dann Ransomware im IT-Netzwerk zu installieren und schlechte betriebliche Sicherheitspraktiken auszunutzen, um geschäftskritische Prozesse als Geiseln zu nehmen.
„Durch die Kompromittierung von IoT-, IT- und OT-Geräten geht R4IoT über die übliche Verschlüsselung und Datenexfiltration hinaus und führt zu einer physischen Unterbrechung der Geschäftsabläufe“, so die Forscher, und fügt damit einem herkömmlichen Ransomware-Angriff eine zusätzliche Erpressungsebene hinzu.
Anders ausgedrückt: R4IoT ist eine neue Art von Malware, die einen IoT-Eintrittspunkt mit einer Ransomware-bedingten seitlichen Bewegung und Verschlüsselung in einem IT-Netzwerk kombiniert und dadurch sowohl IT- als auch OT-Netzwerke in Mitleidenschaft zieht.
In einem hypothetischen Szenario könnte dies bedeuten, dass ein Rechner im Unternehmensnetzwerk kompromittiert wird, um nicht nur Ransomware abzusetzen, sondern auch zusätzliche Nutzdaten von einem entfernten Server abzurufen, um Kryptowährungs-Miner einzusetzen und Denial-of-Service-Angriffe (DoS) gegen OT-Anlagen zu starten.
Um sowohl die Wahrscheinlichkeit als auch die Auswirkungen potenzieller R4IoT-Vorfälle zu verringern, wird Unternehmen empfohlen, anfällige Geräte zu identifizieren und zu patchen, eine Netzwerksegmentierung durchzusetzen, strenge Passwortrichtlinien zu implementieren und HTTPS-Verbindungen, FTP-Sitzungen und den Netzwerkverkehr zu überwachen.
„Ransomware ist die häufigste Bedrohung der letzten Jahre und hat bisher vor allem Schwachstellen in traditionellen IT-Geräten ausgenutzt, um Unternehmen lahmzulegen“, so das Fazit der Forscher.
„Aber neue Vernetzungstrends haben eine Vielzahl und Vielfalt von OT- und IoT-Geräten hinzugefügt, die das Risiko in fast jedem Unternehmen erhöht haben.“