Ransomware: Colonial Pipeline über kompromittiertes Passwort gehackt

Der kürzlich gehackte Pipelinebetreiber Colonial äußert sich zu dem Vorgehen der Ransomware-Gruppe Darkside.

Artikel veröffentlicht am ,
Die Treibstofftanks der betroffenen Colonial Pipeline
Die Treibstofftanks der betroffenen Colonial Pipeline (Bild: Reuters)

Der Pipeline-Betreiber Colonial wurde über kompromittierte Zugangsdaten gehackt. Laut einem Bericht des Magazins Bloomberg verschaffte sich die Angreifergruppe am 29. April 2021 Zugang zu dem internen Netz von Colonial. Dazu nutzten sie ein VPN-Konto, welches Angestellten den Fernzugriff auf das Netzwerk von Colonial ermöglicht.

Stellenmarkt
  1. SAP MM Senior Prozess-Berater (m/w/x)
    über duerenhoff GmbH, Raum Hamburg
  2. Category Development Manager / Space Planning (w/m/d)
    dm-drogerie markt GmbH + Co. KG, Karlsruhe
Detailsuche

Das Konto sei zum Zeitpunkt des Angriffs nicht mehr in Gebrauch, aber immer noch aktiv gewesen, sagte Charles Carmakal, Senior Vice President bei der Sicherheitsfirma Mandiant, die zu Fireeye gehört, zu Bloomberg. Das Passwort für den VPN sei mittlerweile in einer Sammlung geleakter Passwörter im Darknet entdeckt worden.

Unklar sei jedoch, ob die Angreifergruppe auf diesem Weg an das Passwort gekommen sei, hielt Carmakal fest. Zudem sei unbekannt, wie die Angreifer an den korrekten Nutzernamen gelangt seien. "Wir haben eine ziemlich umfassende Suche durchgeführt, um herauszufinden, wie sie an diese Zugangsdaten gekommen sind", sagte Carmakal. "Wir sehen keine Beweise für Phishing bei dem Mitarbeiter, dessen Anmeldedaten verwendet wurden. Wir haben auch keine anderen Beweise für Angreiferaktivitäten vor dem 29. April gesehen."

Colonial und Mandiant äußern sich zum Ablauf des Hacks

Am 7. Mai 2021 um 5 Uhr morgens, rund eine Woche nach dem initialen Angriff, sah ein Angestellter im Kontrollraum von Colonial eine Lösegeldforderung auf einem der Bildschirme. Der Angestellte benachrichtigte umgehend den Betriebsleiter, der sofort damit begann, die Pipeline abzuschalten, erklärt Colonial-CEO Joseph Blount. Rund eine Stunde nach dem Aufpoppen der Lösegeldforderung war die Pipeline und damit die Hauptquelle von Benzin, Diesel und Heizöl für die Ostküste der USA abgeschaltet, das erste Mal in der 57-jährigen Geschichte der Pipeline.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

"Wir hatten zu diesem Zeitpunkt keine andere Wahl", sagte Blount. "Es war absolut das Richtige, das zu tun. Zu diesem Zeitpunkt hatten wir keine Ahnung, wer uns angreift und was seine Motive sind." Anschließend untersuchte die Sicherheitsfirma Mandiant den Vorfall. "Das Letzte, was wir wollten, war, dass ein Bedrohungsakteur aktiven Zugang zu einem Netzwerk hat, in dem ein mögliches Risiko für eine Pipeline besteht. Das war der größte Fokus, bis es wieder eingeschaltet wurde", sagte Carmakal.

Bei der Untersuchung des Systems habe man keine Anzeichen dafür gefunden, dass die Angreifergruppe auch an das operative Netzwerk sowie die Computer, die den Benzinfluss der Pipeline steuern, gelangen konnten. Allerdings konnten die Eindringlinge Rechner in anderen Teilen des Firmennetzwerks verschlüsseln und insgesamt rund 100 GByte Firmendaten kopieren, mit deren Veröffentlichung sie drohten.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

4,4 Millionen US-Dollar Lösegeld bezahlt

Trotz vorhandener Backups bezahlte Colonial letztlich 4,4 Millionen US-Dollar Lösegeld an die Ransomware-Gruppe. Die sogenannte Darkside-Gruppe entschuldigte sich für die sozialen Folgen des Angriffs. Sie hätten Geld verdienen und keine gesellschaftlichen Probleme auslösen wollen, schrieben die Erpresser, nachdem es etwa zu Benzin-Hamsterkäufen an Tankstellen kam. Was die tatsächliche Motivation hinter der Entschuldigung war, ist schwer abzuschätzen.

Etwa eine Woche nach dem bekanntgewordenen Angriff gab mutmaßlich Darkside selbst bekannt, dass die Gruppe Zugriff auf ihre erbeuteten Bitcoins und ihre Blog-Infrastruktur verloren hat.

Am 12. Mai 2021 wurde die Pipeline wieder in Betrieb genommen. Das US-Justizministerium hat die Staatsanwaltschaften aufgrund des Pipline-Hacks angewiesen, koordiniert gegen Ransomware-Angriffe vorzugehen und diese mit einer ähnlichen Priorität wie Terrorismus zu behandeln.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Georg T.
Wieder Haft gegen Nichtzahler der Rundfunkgebühr

Georg T. sitzt seit 109 Tagen in Haft. Grund dafür sind 1.827 Euro Schulden für die Rundfunkgebühr - seine Haft kostet rund 18.000 Euro.

Georg T.: Wieder Haft gegen Nichtzahler der Rundfunkgebühr
Artikel
  1. MIG: Scheuers Funkloch GmbH hat erst zwei Stellen besetzt
    MIG
    Scheuers Funkloch GmbH hat erst zwei Stellen besetzt

    Der Bundesverkehrsminister scheint kein Personal für die Mobilfunkinfrastrukturgesellschaft zu finden.

  2. Square Enix: Action-Adventure mit den Guardians of the Galaxy angekündigt
    Square Enix
    Action-Adventure mit den Guardians of the Galaxy angekündigt

    E3 2021 Erinnert an Mass Effect, aber mit Humor und Groot: Square Enix will noch 2021 das Solo-Abenteuer Guardians of the Galaxy veröffentlichen.

  3. Bethesda: Starfield mit Rätseln und Doom Eternal mit 120 fps
    Bethesda
    Starfield mit Rätseln und Doom Eternal mit 120 fps

    E3 2021 Der Teaser von Starfield lädt zum Knoblen ein, Redfall bietet Blutsauger - und Doom Eternal erhält das Next-Gen-Grafikupdate.

system32 07. Jun 2021 / Themenstart

Zwei Passwörter zu verwenden, selbst wenn sie unterschiedlich sind, ist nach den gängigen...

chefin 07. Jun 2021 / Themenstart

Also wenn ich mir das alles so anschaue, einerseits wurde Lösegeld bezahlt, andererseits...

Kommentieren


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Alternate (u. a. MSI Optix 27" WQHD/165 Hz 315,99€ und Fractal Design Vector RS Blackout Dark TG 116,89€) • Corsair Hydro H80i V2 RGB 73,50€ • Apple iPad 10.2 389€ • Razer Book 13 1.158,13€ • Fractal Design Define S2 Black 99,90€ • Intel i9-11900 379€ • EPOS Sennheiser GSP 600 149€ [Werbung]
    •  /