OT ist zu einem Mainstream-Ziel geworden


OT/ICS-Cyberbedrohungen nehmen angesichts geopolitischer Konflikte und wachsender Ransomware-Angriffe zu
Die achte jährliche Ausgabe des Year in Review Reports stellt zwei neue OT-Cyberbedrohungsgruppen vor und analysiert die anhaltende Infiltration durch VOLTZITE sowie die globale Bedrohung durch die Malware FrostyGoop


Dragos, Anbieterin von Cybersicherheit für OT-Umgebungen (Operational Technology), hat den "Dragos 2025 OT/ICS Cybersecurity Report" veröffentlicht – die achte jährliche Ausgabe des Year in Review. Es handelt sich dabei um den umfassendsten branchenweiten Bericht zu Cyberbedrohungen für Industrieunternehmen. Er beschreibt zwei neue OT-Cyberbedrohungsgruppen, berichtet von einem Anstieg der Ransomware-Aktivitäten um mehr als 87 Prozent im Vergleich zum Vorjahr und thematisiert das Auftreten neuer Malware-Familien, die speziell für OT-Umgebungen entwickelt wurden.

"Der diesjährige Bericht zeigt zwei wichtige Trends: OT ist zu einem Mainstream-Ziel geworden, und selbst hochentwickelte Cyberangriffe setzen einfache Methoden ein, um kritische Infrastrukturen zu kompromittieren und zu stören", sagte Robert M. Lee, Mitbegründer und CEO von Dragos. "Erfahrene, staatlich unterstützte Angreifer operieren unerkannt in kritischen Infrastrukturen, während Hacktivisten und kriminelle Gruppen verstärkt Ransomware einsetzen. Sie nutzen bekannte Schwachstellen, unsichere Konfigurationen für Fernzugriff und ungeschützte OT-Systeme aus, um in industrielle Umgebungen einzudringen. Die mangelnde Transparenz in OT-Umgebungen verschleiert jedoch das volle Ausmaß dieser Angriffe."

"Es ist dennoch wichtig, die Fortschritte der OT-Sicherheitsteams anzuerkennen", fügte Lee hinzu. "Organisationen haben Netzwerke stärker segmentiert, ihre OT-Umgebungen durch Monitoring transparenter gemacht und robustere Incident-Response-Fähigkeiten entwickelt. Mit diesen proaktiven Maßnahmen können Angreifer leichter entdeckt werden, weshalb sie der Schlüssel zur langfristigen Widerstandsfähigkeit der industriellen Cybersicherhei sind."

Detaillierte Informationen aus dem Dragos 2025 OT/ICS-Cybersecurity Report:

Dragos hat zwei neue OT-Cyberbedrohungsgruppen entdeckt: GRAPHITE und BAUXITE.
Inklusive dieser neuen Gruppen verfolgen die Analysten von Dragos nun weltweit 23 Bedrohungsgruppen, von denen 9 im Jahr 2024 in OT-Operationen aktiv waren.

>> BAUXITE führte mehrere globale Kampagnen gegen Industrieunternehmen und spezialisierte Industrieanlagen durch. Diese Gruppe weist erhebliche technische Überschneidungen in ihren Fähigkeiten und ihrer Netzwerkinfrastruktur mit den Hacktivisten CyberAv3ngers auf, die laut Berichten der US-Regierung ausdrücklich mit der Cyber- und Elektronikabteilung des Korps der Iranischen Revolutionsgarden (IRGC-CEC) in Verbindung steht.

>> Seit Ende 2023 hat Dragos vier BAUXITE-Kampagnen beobachtet, darunter solche mit Auswirkungen auf die ICS-Cyber-Kill-Chain der Stufe 2, die durch einfache Kompromittierungen exponierter Geräte ermöglicht wurden. Bestätigte Opfer von BAUXITE befinden sich in den Vereinigten Staaten, Europa, Australien und im Mittleren Osten. Betroffen sind verschiedene Sektoren der kritischen Infrastruktur, darunter Energie (Öl, Erdgas, Stromversorgung), Wasser und Abwasser, die Lebensmittel- und Getränkeindustrie sowie die chemische Produktion.

>> GRAPHITE zielt auf Einrichtungen in den Sektoren Energie, Öl und Gas, Logistik sowie Regierung in Osteuropa und im Mittleren Osten ab. Die Gruppe weist starke technische Überschneidungen mit APT28 und anderen Akteuren auf. GRAPHITE konzentriert sich auf Organisationen, die für die militärische Lage in der Ukraine relevant sind. Diese Ausrichtung ist seit dem Einmarsch Russlands in die Ukraine im Februar 2022 erkennbar und könnte auf eine spezialisierte Untereinheit oder eine Erweiterung der Missionsziele hindeuten.

>> GRAPHITE wurde bei der Durchführung von Spear-Phishing-Kampagnen gegen Betreiber und Einrichtungen von Wasserkraftwerken und Erdgaspipelines beobachtet. Zudem führt die Gruppe nahezu ununterbrochene Phishing-Operationen durch, bei denen sie bekannte Schwachstellen und maßgeschneiderte skriptbasierte Malware nutzt, um Organisationen in kritischen Branchen innerhalb der Zielregion anzugreifen.

Dragos hat zwei neue ICS-spezifische Malware-Varianten entdeckt – Fuxnet und FrostyGoop
Die Entwicklung neuer Malware-Varianten, die gezielt industrielle Steuerungssysteme (ICS) angreifen, zeigt die zunehmende Bedrohung für industrielle Abläufe.

>> Fuxnet: Diese Malware wird der pro-ukrainischen Hacktivistengruppe BlackJack zugeschrieben. Sie zielt auf industrielle Sensornetzwerke von Moskollektor ab, einer kommunalen Organisation, die das Kommunikationssystem für das Gas-, Wasser- und Abwassernetz in Moskau betreibt. Mithilfe der Fuxnet-Malware soll BlackJack Tausende von Sensoren deaktiviert und Sensor-Gateway-Geräte zerstört haben, sodass diese keine Informationen mehr übertragen konnten.

>> FrostyGoop: FrostyGoop wurde Anfang 2024 erstmals entdeckt und ist eine hochgefährliche Malware, die gezielt die Modbus-TCP-Kommunikation über Port 502 in ICS-Umgebungen manipuliert. Sie kann normale industrielle Prozessbefehle verändern oder fälschen, wodurch sie Antiviren-Software umgeht und physische Schäden an der Infrastruktur verursachen kann. Dies zeigte sich in einem dokumentierten Angriff auf Fernheizkraftwerke in der Ukraine. Die Malware führte im Januar 2024 zu Heizungsausfällen in über 600 Wohngebäuden. Eine Untersuchung von Dragos ergab, dass weltweit über 46.000 internetverbundene ICS-Geräte über Modbus kommunizieren.

Neuere Aktivitäten von Bedrohungsgruppen:

>> VOLTZITE gilt als eine der gefährlichsten Bedrohungsgruppen für kritische Infrastrukturen. Aufgrund ihres gezielten Fokus auf OT-Daten stellt sie eine ernsthafte Gefahr für Betreiber und Eigentümer von ICS-Anlagen dar. Die Gruppe weist erhebliche technische Überschneidungen mit der Bedrohungsgruppe Volt Typhoon auf, die von anderen Organisationen beobachtet wird. VOLTZITE setzt weiterhin bewährte Methoden der Vorjahre ein und nutzt komplexe Netzwerkinfrastrukturen, um OT-relevante Daten – darunter GIS-Daten, OT-Netzwerkdiagramme und OT-Betriebsanweisungen – aus ICS-Umgebungen zu stehlen. Die Gruppe ist einer der Hauptgründe für die kontinuierliche Überwachung von OT-Netzwerken und die gezielte Suche nach bösartigen Aktivitäten. VOLTZITE kann durch sorgfältige Analyse ungewöhnlicher Netzwerkkommunikation identifiziert und abgewehrt werden.

>> KAMACITE hat sich nicht mehr ausschließlich auf die Ukraine konzentriert, sondern neue, maßgeschneiderte Windows-basierte Malware-Varianten eingeführt und seinen Fokus auf europäische Öl- und Erdgasunternehmen (ONG) ausgeweitet. Dies fiel mit dem Auslaufen eines Abkommens zusammen, das dem russischen Staatsunternehmen Gazprom erlaubte, Gas nach Ost- und Mitteleuropa zu liefern.

>> ELECTRUM setzt seine Wiper-Kampagnen mit einer neuen Variante namens AcidPour fort – einer für Linux-Betriebssysteme kompilierten Binärdatei, die UBI-Verzeichnisse (Unsorted Block Images) in eingebetteten Geräten, einschließlich OT-Systemen, durchsuchen und löschen kann. AcidPour ist eine Weiterentwicklung von AcidRain, verfügt jedoch über erweiterte Funktionen für Memory Technology Devices (MTDs), die häufig in eingebetteten Systemen zu finden sind. Dragos stellte fest, dass ELECTRUM die Ressourcen und den Ruf der Hacktivisten-Persona Solnetspek nutzte, um seine operativen Aktivitäten während des Cyberangriffs auf Kyivstar – den führenden Telekommunikationsanbieter der Ukraine – im Dezember 2023 zu verschleiern.

Weitere wichtige Erkenntnisse:
>> Geopolitische Konflikte treiben OT-zentrierte Cyberangriffe voran: Angreifer, die mit staatlich unterstützten Initiativen in Verbindung stehen, führten weiterhin Cyberangriffe auf kritische Infrastrukturen in der Ukraine, Russland und im Mittleren Osten durch – oft als direkte Erweiterung militärischer Konflikte.

>> Hacktivistische Gruppen verstärken ihre Angriffe auf kritische Infrastrukturen: Hacktivisten setzen neue Angriffsmethoden ein, um OT-Umgebungen gezielt anzugreifen, Energie- und Wasserversorgung zu stören und ihre Aktionen an geopolitischen Zielen auszurichten. 2023 und bis Anfang 2024 beobachtete Dragos einen Trend, bei dem hacktivistische oder selbsternannte hacktivistische Gruppen aktiv die Stufe 2 der ICS-Cyber-Kill-Chain gegen Industrieunternehmen sowie kritische Infrastrukturen und Dienstleistungen weltweit erreichten.

>> Staatlich unterstützte Angreifer und Hacktivisten arbeiten zunehmend zusammen: Die wachsende Kooperation zwischen Hacktivistengruppen und staatlich geförderten Cyberakteuren hat ein hybrides Bedrohungsmodell hervorgebracht, bei dem Hacktivisten staatliche Ziele entweder direkt oder durch gemeinsame Infrastruktur und nachrichtendienstliche Erkenntnisse unterstützen. Staatliche Akteure nutzen Hacktivistengruppen zunehmend als Stellvertreter für schwer nachweisbare Cyberangriffe, was aggressivere Attacken ermöglicht, die nur schwer einem Angreifer zugeordnet werden können.

>> Hacktivisten setzen zunehmend Ransomware ein: Hacktivistische und selbsternannte hacktivistische Gruppen nutzen Ransomware zunehmend als Teil ihrer weiterentwickelten Angriffe auf eine Vielzahl industrieller Ziele. 2024 setzten drei bekannte Hacktivistengruppen – Handala, Kill Security und CyberVolk – aktiv Ransomware in ihren Angriffen ein.

>> Ransomware-Aktivitäten steigen drastisch an: Die Zahl der Ransomware-Gruppen, die Industrieunternehmen angreifen, stieg auf 80 – ein Zuwachs von 60 Prozent gegenüber den 50 Gruppen im Jahr 2023. In der ersten Hälfte des Jahres 2024 griffen diese Gruppen durchschnittlich 34 Industrieunternehmen pro Woche an. In der zweiten Jahreshälfte verdoppelte sich diese Zahl sogar. Der am stärksten betroffene Sektor ist weiterhin die verarbeitende Industrie, auf die mehr als 50 Prozent der beobachteten Ransomware-Opfer entfallen. 25 Prozent der von Dragos beobachteten Ransomware-Fälle führten zur vollständigen Abschaltung eines OT-Standorts, und in 75 Prozent der Fälle kam es zu Betriebsstörungen.

>> Schwachstellen mit hohem Risiko für industrielle Prozesse: 2024 stellte Dragos fest, dass 70 Prozent der untersuchten Schwachstellen tief im ICS-Netzwerk lagen und 39 Prozent sowohl einen Verlust der Sicht auf Anlagenprozesse als auch der Prozesssteuerung verursachen. 22 Prozent der dokumentierten Schwachstellen konnten über das Netzwerk ausgenutzt werden und befanden sich am Perimeter des OT-Netzwerks – ein Anstieg gegenüber 16 Prozent im Jahr 2023.

Es ist Zeit, proaktiv auf die Suche zu gehen: Die Widerstandsfähigkeit der industriellen Cybersicherheit stärken
Angreifer passen sich an und setzen immer ausgefeiltere Angriffsmethoden ein, um in industrielle Umgebungen einzudringen. Die Erkenntnisse des diesjährigen Reports sind eindeutig: Unternehmen mit proaktiven Sicherheitsmaßnahmen profitieren von schnelleren Wiederherstellungszeiten, geringeren finanziellen Verlusten und minimalen Betriebsstörungen. Threat Hunting, die proaktive Suche nach Eindringlingen, ist keine Option mehr – es ist eine Notwendigkeit.

Industrieunternehmen müssen über rein reaktive Sicherheitsmaßnahmen hinausgehen und Threat Hunting als essenziellen Bestandteil ihrer Verteidigungsstrategie etablieren. Angreifer nutzen bekannte Schwachstellen, unsichere Fernzugriffskonfigurationen und Lücken in der Lieferkette zunehmend aus. Unternehmen, die Bedrohungen und verdächtige Aktivitäten in ihren Systemen aktiv aufspüren, verschaffen sich einen entscheidenden Vorteil: Sie verhindern Angriffe, bevor diese eskalieren.

ICS-Sicherheitsverantwortliche müssen entschlossen handeln. Angreifer wie VOLTZITE sind bereits in Netzwerken aktiv. Die Fähigkeit, sie aufzuspüren und zu eliminieren, bevor sie Schaden anrichten, ist der nächste Schritt in der Weiterentwicklung der industriellen Cybersicherheit. Jetzt ist die Zeit, sich aktiv auf die Suche zu machen.

YIR-Bericht und Ressourcen:
Der "Dragos OT Cybersecurity Year in Review 2025" bietet eine jährliche Übersicht und Analyse globaler OT-spezifischer Bedrohungsaktivitäten, Schwachstellen sowie branchenspezifischer Erkenntnisse und Trends. Der vollständige Bericht kann hier heruntergeladen werden. (Dragos: ra)

eingetragen: 25.04.25

Dragos: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.







eingetragen: 12.12.24
Newsletterlauf: 26.02.25

Meldungen: Security-Studien

  • Viele Branchen von Cyberangriffen bedroht

    Der neueste Nozomi Networks Labs OT & IoT Security Report zeigt, dass drahtlose Netzwerke kaum geschützt sind, während Angreifer sich weiterhin umfangreichen Zugang zu kritischen Infrastrukturen verschaffen. In der zweiten Jahreshälfte 2024 wurden Organisationen mit sensibler Infrastruktur in den USA am häufigsten angegriffen, wobei die Fertigungsindustrie am stärksten gefährdet war.

  • Benchmark der Sicherheitsleistungsfähigkeit

    Veracode, Unternehmen im Bereich Application Risk Management, stellte die 15. Ausgabe ihres State of Software-Security-Reports vor. Der Bericht, der auf einem umfangreichen Datensatz von 1,3 Millionen einzelnen Anwendungen und 126,4 Millionen Rohdaten basiert, hebt wichtige Trends hervor. Er eröffnet einen neuen Blick auf den Reifegrad von Softwaresicherheit, um das Risikomanagement von Anwendungen zu verbessern.

  • Globale Anwendungs- und Geschäftstrends

    Berichte über Cybersicherheitsvorfälle in Deutschland haben drastisch zugenommen. Einrichtungen der kritischen Infrastruktur meldeten im Jahr 2024 insgesamt 769 solcher Vorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) - ein Anstieg um rund 43 Prozent im Vergleich zum Vorjahr. Noch beunruhigender ist, dass 80 Prozent aller Cyberangriffe auf kompromittierte Online-Identitäten zurückzuführen sind.

Identitätssicherheit Schlüssel zur Cybersicherheit Angreifer arbeiten deutlich schneller

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen