Ransomware: Colonial Pipeline über kompromittiertes Passwort gehackt

Der kürzlich gehackte Pipelinebetreiber Colonial äußert sich zu dem Vorgehen der Ransomware-Gruppe Darkside.

Artikel veröffentlicht am ,
Die Treibstofftanks der betroffenen Colonial Pipeline
Die Treibstofftanks der betroffenen Colonial Pipeline (Bild: Reuters)

Der Pipeline-Betreiber Colonial wurde über kompromittierte Zugangsdaten gehackt. Laut einem Bericht des Magazins Bloomberg verschaffte sich die Angreifergruppe am 29. April 2021 Zugang zu dem internen Netz von Colonial. Dazu nutzten sie ein VPN-Konto, welches Angestellten den Fernzugriff auf das Netzwerk von Colonial ermöglicht.

Stellenmarkt
  1. IT-Anwendungsbetreuer (w/m/d)
    Investitionsbank Schleswig-Holstein, Kiel
  2. PLM Specialist ARAS (w/m/d)
    NDI Europe GmbH, Radolfzell am Bodensee, Konstanz, Singen
Detailsuche

Das Konto sei zum Zeitpunkt des Angriffs nicht mehr in Gebrauch, aber immer noch aktiv gewesen, sagte Charles Carmakal, Senior Vice President bei der Sicherheitsfirma Mandiant, die zu Fireeye gehört, zu Bloomberg. Das Passwort für den VPN sei mittlerweile in einer Sammlung geleakter Passwörter im Darknet entdeckt worden.

Unklar sei jedoch, ob die Angreifergruppe auf diesem Weg an das Passwort gekommen sei, hielt Carmakal fest. Zudem sei unbekannt, wie die Angreifer an den korrekten Nutzernamen gelangt seien. "Wir haben eine ziemlich umfassende Suche durchgeführt, um herauszufinden, wie sie an diese Zugangsdaten gekommen sind", sagte Carmakal. "Wir sehen keine Beweise für Phishing bei dem Mitarbeiter, dessen Anmeldedaten verwendet wurden. Wir haben auch keine anderen Beweise für Angreiferaktivitäten vor dem 29. April gesehen."

Colonial und Mandiant äußern sich zum Ablauf des Hacks

Am 7. Mai 2021 um 5 Uhr morgens, rund eine Woche nach dem initialen Angriff, sah ein Angestellter im Kontrollraum von Colonial eine Lösegeldforderung auf einem der Bildschirme. Der Angestellte benachrichtigte umgehend den Betriebsleiter, der sofort damit begann, die Pipeline abzuschalten, erklärt Colonial-CEO Joseph Blount. Rund eine Stunde nach dem Aufpoppen der Lösegeldforderung war die Pipeline und damit die Hauptquelle von Benzin, Diesel und Heizöl für die Ostküste der USA abgeschaltet, das erste Mal in der 57-jährigen Geschichte der Pipeline.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    5.-6. Juli 2021, online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

"Wir hatten zu diesem Zeitpunkt keine andere Wahl", sagte Blount. "Es war absolut das Richtige, das zu tun. Zu diesem Zeitpunkt hatten wir keine Ahnung, wer uns angreift und was seine Motive sind." Anschließend untersuchte die Sicherheitsfirma Mandiant den Vorfall. "Das Letzte, was wir wollten, war, dass ein Bedrohungsakteur aktiven Zugang zu einem Netzwerk hat, in dem ein mögliches Risiko für eine Pipeline besteht. Das war der größte Fokus, bis es wieder eingeschaltet wurde", sagte Carmakal.

Bei der Untersuchung des Systems habe man keine Anzeichen dafür gefunden, dass die Angreifergruppe auch an das operative Netzwerk sowie die Computer, die den Benzinfluss der Pipeline steuern, gelangen konnten. Allerdings konnten die Eindringlinge Rechner in anderen Teilen des Firmennetzwerks verschlüsseln und insgesamt rund 100 GByte Firmendaten kopieren, mit deren Veröffentlichung sie drohten.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

4,4 Millionen US-Dollar Lösegeld bezahlt

Trotz vorhandener Backups bezahlte Colonial letztlich 4,4 Millionen US-Dollar Lösegeld an die Ransomware-Gruppe. Die sogenannte Darkside-Gruppe entschuldigte sich für die sozialen Folgen des Angriffs. Sie hätten Geld verdienen und keine gesellschaftlichen Probleme auslösen wollen, schrieben die Erpresser, nachdem es etwa zu Benzin-Hamsterkäufen an Tankstellen kam. Was die tatsächliche Motivation hinter der Entschuldigung war, ist schwer abzuschätzen.

Etwa eine Woche nach dem bekanntgewordenen Angriff gab mutmaßlich Darkside selbst bekannt, dass die Gruppe Zugriff auf ihre erbeuteten Bitcoins und ihre Blog-Infrastruktur verloren hat.

Am 12. Mai 2021 wurde die Pipeline wieder in Betrieb genommen. Das US-Justizministerium hat die Staatsanwaltschaften aufgrund des Pipline-Hacks angewiesen, koordiniert gegen Ransomware-Angriffe vorzugehen und diese mit einer ähnlichen Priorität wie Terrorismus zu behandeln.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
DIY-Projekt
Lasst uns einen Open-Source-E-Ink-Laptop bauen!

Augenschonende Displays wie die von E-Ink sind bislang kaum verbreitet. Deshalb würde ich gerne selbst einen Laptop mit E-Ink-Display bauen.
Von Alexander Soto

DIY-Projekt: Lasst uns einen Open-Source-E-Ink-Laptop bauen!
Artikel
  1. Malware: Börsenaufsicht sucht weitere Solarwinds-Opfer
    Malware
    Börsenaufsicht sucht weitere Solarwinds-Opfer

    Haben betroffene Unternehmen einen Hack über die Solarwinds-Software verschwiegen? Das untersucht nun die US-Börsenaufsicht.

  2. In eigener Sache: Wie geht es IT-Fachleuten nach über einem Jahr Corona?
    In eigener Sache
    Wie geht es IT-Fachleuten nach über einem Jahr Corona?

    Selten hat ein Ereignis die Arbeit so verändert wie Corona. Golem.de möchte von dir wissen, was das für dich bedeutet. Bitte nimm an der Umfrage teil - es dauert nicht lange!

  3. So findet dich der beste Tech-Job
     
    So findet dich der beste Tech-Job

    Das französische Start-up talent.io vernetzt Tech-Talente mit potenziellen Arbeitgebern. Talente legen ein Profil an und warten einfach ab, bis ein Unternehmen um ein Vorstellungsgespräch bittet.
    Sponsored Post von Golem.de

system32 07. Jun 2021 / Themenstart

Zwei Passwörter zu verwenden, selbst wenn sie unterschiedlich sind, ist nach den gängigen...

chefin 07. Jun 2021 / Themenstart

Also wenn ich mir das alles so anschaue, einerseits wurde Lösegeld bezahlt, andererseits...

Kommentieren


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • MSI MAG272CQR 27" Curved WQHD 165Hz 309€ • 6 Blu-rays für 30€ • be quiet Dark Base 700 Tower 124,90€ • HTC Vive Cosmos inkl. 2 Controller 599,90€ • Game of Thrones TV Box Set 4K 149,97€ • Landwirtschafts-Simulator 22 39,99€ • Dualsense Black + R&C Rift Apart 99,99€ [Werbung]
    •  /