Ransomware: Colonial Pipeline über kompromittiertes Passwort gehackt

Der Pipeline-Betreiber Colonial wurde über kompromittierte Zugangsdaten gehackt. Laut einem Bericht des Magazins Bloomberg verschaffte sich die Angreifergruppe am 29. April 2021 Zugang zu dem internen Netz von Colonial. Dazu nutzten sie ein VPN-Konto, welches Angestellten den Fernzugriff auf das Netzwerk von Colonial ermöglicht.

Das Konto sei zum Zeitpunkt des Angriffs nicht mehr in Gebrauch, aber immer noch aktiv gewesen, sagte Charles Carmakal, Senior Vice President bei der Sicherheitsfirma Mandiant, die zu Fireeye gehört, zu Bloomberg. Das Passwort für den VPN sei mittlerweile in einer Sammlung geleakter Passwörter im Darknet entdeckt worden.

Unklar sei jedoch, ob die Angreifergruppe auf diesem Weg an das Passwort gekommen sei, hielt Carmakal fest. Zudem sei unbekannt, wie die Angreifer an den korrekten Nutzernamen gelangt seien. "Wir haben eine ziemlich umfassende Suche durchgeführt, um herauszufinden, wie sie an diese Zugangsdaten gekommen sind", sagte Carmakal. "Wir sehen keine Beweise für Phishing bei dem Mitarbeiter, dessen Anmeldedaten verwendet wurden. Wir haben auch keine anderen Beweise für Angreiferaktivitäten vor dem 29. April gesehen."

Colonial und Mandiant äußern sich zum Ablauf des Hacks

Am 7. Mai 2021 um 5 Uhr morgens, rund eine Woche nach dem initialen Angriff, sah ein Angestellter im Kontrollraum von Colonial eine Lösegeldforderung auf einem der Bildschirme. Der Angestellte benachrichtigte umgehend den Betriebsleiter, der sofort damit begann, die Pipeline abzuschalten, erklärt Colonial-CEO Joseph Blount. Rund eine Stunde nach dem Aufpoppen der Lösegeldforderung war die Pipeline und damit die Hauptquelle von Benzin, Diesel und Heizöl für die Ostküste der USA abgeschaltet, das erste Mal in der 57-jährigen Geschichte der Pipeline.

"Wir hatten zu diesem Zeitpunkt keine andere Wahl", sagte Blount. "Es war absolut das Richtige, das zu tun. Zu diesem Zeitpunkt hatten wir keine Ahnung, wer uns angreift und was seine Motive sind." Anschließend untersuchte die Sicherheitsfirma Mandiant den Vorfall. "Das Letzte, was wir wollten, war, dass ein Bedrohungsakteur aktiven Zugang zu einem Netzwerk hat, in dem ein mögliches Risiko für eine Pipeline besteht. Das war der größte Fokus, bis es wieder eingeschaltet wurde", sagte Carmakal.

Bei der Untersuchung des Systems habe man keine Anzeichen dafür gefunden, dass die Angreifergruppe auch an das operative Netzwerk sowie die Computer, die den Benzinfluss der Pipeline steuern, gelangen konnten. Allerdings konnten die Eindringlinge Rechner in anderen Teilen des Firmennetzwerks verschlüsseln und insgesamt rund 100 GByte Firmendaten kopieren, mit deren Veröffentlichung sie drohten.

4,4 Millionen US-Dollar Lösegeld bezahlt

Trotz vorhandener Backups bezahlte Colonial letztlich 4,4 Millionen US-Dollar Lösegeld an die Ransomware-Gruppe. Die sogenannte Darkside-Gruppe entschuldigte sich für die sozialen Folgen des Angriffs. Sie hätten Geld verdienen und keine gesellschaftlichen Probleme auslösen wollen, schrieben die Erpresser, nachdem es etwa zu Benzin-Hamsterkäufen an Tankstellen kam. Was die tatsächliche Motivation hinter der Entschuldigung war, ist schwer abzuschätzen.

Etwa eine Woche nach dem bekanntgewordenen Angriff gab mutmaßlich Darkside selbst bekannt, dass die Gruppe Zugriff auf ihre erbeuteten Bitcoins und ihre Blog-Infrastruktur verloren hat.

Am 12. Mai 2021 wurde die Pipeline wieder in Betrieb genommen. Das US-Justizministerium hat die Staatsanwaltschaften aufgrund des Pipline-Hacks angewiesen, koordiniert gegen Ransomware-Angriffe vorzugehen und diese mit einer ähnlichen Priorität wie Terrorismus zu behandeln.