Mandiant hat Datensätze gesammelt und analysiert, die bei Ransomware-Erpressungsangriffen gestohlen und im Dark Web veröffentlicht wurden. Dabei fanden die Experten heraus, dass etwa jeder siebte Leak von Daten eines Industrieunternehmens potenziell sensible OT-Informationen offenlegt.
Bei der Analyse wurden über mehrere Monate hinweg etwa 70 Leaks und Terabytes an Daten untersucht. Die Ergebnisse hat Mandiant in einem Bericht zusammengefasst.
Folgende Funde stechen hervor:
- Administrator-Anmeldeinformationen für einen Erstausrüster; Back-ups von Siemens TIA Portal SPS-Projektdateien etc. von einem Hersteller von Güter- und Personenzügen
- Eine Liste mit Namen, E-Mails, Benutzerrechten und Passwörtern von IT-, Wartungs- und Betriebsangestellten eines Wasserkraftwerkbetreibers
- Eine ausführliche Netzwerk- und Prozessdokumentation einschließlich Diagrammen, das Gefahrstoff-Identifikationssystem, Tabellenkalkulationen etc. von zwei Öl- und Gasunternehmen
Da Angreifer-Gruppen in der Regel neue Leaks ankündigen und in Hackerforen oder sozialen Medien posten, kann jeder, der Zugang zu einem Tor-Browser hat, diese Seiten aufrufen und die verfügbaren Datensätze herunterladen.
Dadurch wirken sich die Leaks potenziell über Jahre hinaus schädlich auf die betroffenen Unternehmen aus und sind schwer zu verfolgen.
Die Experten von Mandiant merken an, dass „selbst, wenn die offengelegten OT-Daten relativ alt sind, die typische Lebensdauer von industriellen IT-Systemen zwanzig bis dreißig Jahre beträgt. Das führt dazu, dass Leaks jahrzehntelang für Spionagebemühungen relevant sind – viel länger als offengelegte Informationen über IT-Infrastrukturen“.