Ransomware: Colonial Pipeline über kompromittiertes Passwort gehackt

Der kürzlich gehackte Pipelinebetreiber Colonial äußert sich zu dem Vorgehen der Ransomware-Gruppe Darkside.

Artikel veröffentlicht am ,
Die Treibstofftanks der betroffenen Colonial Pipeline
Die Treibstofftanks der betroffenen Colonial Pipeline (Bild: Reuters)

Der Pipeline-Betreiber Colonial wurde über kompromittierte Zugangsdaten gehackt. Laut einem Bericht des Magazins Bloomberg verschaffte sich die Angreifergruppe am 29. April 2021 Zugang zu dem internen Netz von Colonial. Dazu nutzten sie ein VPN-Konto, welches Angestellten den Fernzugriff auf das Netzwerk von Colonial ermöglicht.

Stellenmarkt
  1. Softwareentwickler (gn)
    ESG InterOp Solutions GmbH, Wilhelmshaven
  2. Web-Entwicklerin/Web-Entwick- ler (m/w/d)
    Bundesamt für Familie und zivilgesellschaftliche Aufgaben, Köln
Detailsuche

Das Konto sei zum Zeitpunkt des Angriffs nicht mehr in Gebrauch, aber immer noch aktiv gewesen, sagte Charles Carmakal, Senior Vice President bei der Sicherheitsfirma Mandiant, die zu Fireeye gehört, zu Bloomberg. Das Passwort für den VPN sei mittlerweile in einer Sammlung geleakter Passwörter im Darknet entdeckt worden.

Unklar sei jedoch, ob die Angreifergruppe auf diesem Weg an das Passwort gekommen sei, hielt Carmakal fest. Zudem sei unbekannt, wie die Angreifer an den korrekten Nutzernamen gelangt seien. "Wir haben eine ziemlich umfassende Suche durchgeführt, um herauszufinden, wie sie an diese Zugangsdaten gekommen sind", sagte Carmakal. "Wir sehen keine Beweise für Phishing bei dem Mitarbeiter, dessen Anmeldedaten verwendet wurden. Wir haben auch keine anderen Beweise für Angreiferaktivitäten vor dem 29. April gesehen."

Colonial und Mandiant äußern sich zum Ablauf des Hacks

Am 7. Mai 2021 um 5 Uhr morgens, rund eine Woche nach dem initialen Angriff, sah ein Angestellter im Kontrollraum von Colonial eine Lösegeldforderung auf einem der Bildschirme. Der Angestellte benachrichtigte umgehend den Betriebsleiter, der sofort damit begann, die Pipeline abzuschalten, erklärt Colonial-CEO Joseph Blount. Rund eine Stunde nach dem Aufpoppen der Lösegeldforderung war die Pipeline und damit die Hauptquelle von Benzin, Diesel und Heizöl für die Ostküste der USA abgeschaltet, das erste Mal in der 57-jährigen Geschichte der Pipeline.

Golem Karrierewelt
  1. Microsoft Azure Security: virtueller Zwei-Tage-Workshop
    19./20.09.2022, virtuell
  2. C++ Programmierung Grundlagen (keine Vorkenntnisse benötigt): virtueller Drei-Tage-Workshop
    01.-03.08.2022, virtuell
Weitere IT-Trainings

"Wir hatten zu diesem Zeitpunkt keine andere Wahl", sagte Blount. "Es war absolut das Richtige, das zu tun. Zu diesem Zeitpunkt hatten wir keine Ahnung, wer uns angreift und was seine Motive sind." Anschließend untersuchte die Sicherheitsfirma Mandiant den Vorfall. "Das Letzte, was wir wollten, war, dass ein Bedrohungsakteur aktiven Zugang zu einem Netzwerk hat, in dem ein mögliches Risiko für eine Pipeline besteht. Das war der größte Fokus, bis es wieder eingeschaltet wurde", sagte Carmakal.

Bei der Untersuchung des Systems habe man keine Anzeichen dafür gefunden, dass die Angreifergruppe auch an das operative Netzwerk sowie die Computer, die den Benzinfluss der Pipeline steuern, gelangen konnten. Allerdings konnten die Eindringlinge Rechner in anderen Teilen des Firmennetzwerks verschlüsseln und insgesamt rund 100 GByte Firmendaten kopieren, mit deren Veröffentlichung sie drohten.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

4,4 Millionen US-Dollar Lösegeld bezahlt

Trotz vorhandener Backups bezahlte Colonial letztlich 4,4 Millionen US-Dollar Lösegeld an die Ransomware-Gruppe. Die sogenannte Darkside-Gruppe entschuldigte sich für die sozialen Folgen des Angriffs. Sie hätten Geld verdienen und keine gesellschaftlichen Probleme auslösen wollen, schrieben die Erpresser, nachdem es etwa zu Benzin-Hamsterkäufen an Tankstellen kam. Was die tatsächliche Motivation hinter der Entschuldigung war, ist schwer abzuschätzen.

Etwa eine Woche nach dem bekanntgewordenen Angriff gab mutmaßlich Darkside selbst bekannt, dass die Gruppe Zugriff auf ihre erbeuteten Bitcoins und ihre Blog-Infrastruktur verloren hat.

Am 12. Mai 2021 wurde die Pipeline wieder in Betrieb genommen. Das US-Justizministerium hat die Staatsanwaltschaften aufgrund des Pipline-Hacks angewiesen, koordiniert gegen Ransomware-Angriffe vorzugehen und diese mit einer ähnlichen Priorität wie Terrorismus zu behandeln.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


system32 07. Jun 2021

Zwei Passwörter zu verwenden, selbst wenn sie unterschiedlich sind, ist nach den gängigen...

chefin 07. Jun 2021

Also wenn ich mir das alles so anschaue, einerseits wurde Lösegeld bezahlt, andererseits...



Aktuell auf der Startseite von Golem.de
Desktop-Modus des Steam Deck ausprobiert
Das fast perfekte Linux für Umsteiger

Das Steam Deck könnte für einige der erste Desktop-Rechner sein und kommt mit der Linux-Distribution SteamOS. Taugt das für den Einstieg?
Ein Hands-on von Sebastian Grüner

Desktop-Modus des Steam Deck ausprobiert: Das fast perfekte Linux für Umsteiger
Artikel
  1. Verifone: Bundesweite Störung von Girokarten-Terminals
    Verifone
    Bundesweite Störung von Girokarten-Terminals

    In vielen Geschäften lässt sich derzeit nur bar bezahlen. Ursache ist wohl ein Softwarefehler in Kartenzahlungsterminals für Giro- und Kreditkarten.

  2. Amazons E-Book-Reader: Alte Kindle-Modelle verlieren Buchkauf und -ausleihe
    Amazons E-Book-Reader
    Alte Kindle-Modelle verlieren Buchkauf und -ausleihe

    Amazon streicht in Kürze auf fünf älteren Kindle-Modellen alle Funktionen, die mit Amazons E-Book-Store zusammenhängen.

  3. Urheberrecht: Seth Greens Affe ist entführt worden
    Urheberrecht
    Seth Greens Affe ist entführt worden

    Per Phishing-Angriff ist dem Schauspieler sein Bored-Ape-NFT entwendet worden. Das bringt seine neue Serie in Gefahr.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Days of Play: (u. a. PS5-Controller (alle Farben) günstig wie nie: 49,99€, PS5-Headset Sony Pulse 3D günstig wie nie: 79,99€) • Viewsonic Gaming-Monitore günstiger • Mindstar (u. a. MSI RTX 3090 24GB 1.599€) • Xbox Series X bestellbar • Samsung SSD 1TB 79€ [Werbung]
    •  /