Ransomware: Colonial Pipeline über kompromittiertes Passwort gehackt

Der kürzlich gehackte Pipelinebetreiber Colonial äußert sich zu dem Vorgehen der Ransomware-Gruppe Darkside.

Artikel veröffentlicht am ,
Die Treibstofftanks der betroffenen Colonial Pipeline
Die Treibstofftanks der betroffenen Colonial Pipeline (Bild: Reuters)

Der Pipeline-Betreiber Colonial wurde über kompromittierte Zugangsdaten gehackt. Laut einem Bericht des Magazins Bloomberg verschaffte sich die Angreifergruppe am 29. April 2021 Zugang zu dem internen Netz von Colonial. Dazu nutzten sie ein VPN-Konto, welches Angestellten den Fernzugriff auf das Netzwerk von Colonial ermöglicht.

Stellenmarkt
  1. IT-Administrator (m/w/d)
    BSS IT GmbH, Nürnberg
  2. Inhouse Consultant IT Projekte (m/w/d)
    Haufe Group, Freiburg
Detailsuche

Das Konto sei zum Zeitpunkt des Angriffs nicht mehr in Gebrauch, aber immer noch aktiv gewesen, sagte Charles Carmakal, Senior Vice President bei der Sicherheitsfirma Mandiant, die zu Fireeye gehört, zu Bloomberg. Das Passwort für den VPN sei mittlerweile in einer Sammlung geleakter Passwörter im Darknet entdeckt worden.

Unklar sei jedoch, ob die Angreifergruppe auf diesem Weg an das Passwort gekommen sei, hielt Carmakal fest. Zudem sei unbekannt, wie die Angreifer an den korrekten Nutzernamen gelangt seien. "Wir haben eine ziemlich umfassende Suche durchgeführt, um herauszufinden, wie sie an diese Zugangsdaten gekommen sind", sagte Carmakal. "Wir sehen keine Beweise für Phishing bei dem Mitarbeiter, dessen Anmeldedaten verwendet wurden. Wir haben auch keine anderen Beweise für Angreiferaktivitäten vor dem 29. April gesehen."

Colonial und Mandiant äußern sich zum Ablauf des Hacks

Am 7. Mai 2021 um 5 Uhr morgens, rund eine Woche nach dem initialen Angriff, sah ein Angestellter im Kontrollraum von Colonial eine Lösegeldforderung auf einem der Bildschirme. Der Angestellte benachrichtigte umgehend den Betriebsleiter, der sofort damit begann, die Pipeline abzuschalten, erklärt Colonial-CEO Joseph Blount. Rund eine Stunde nach dem Aufpoppen der Lösegeldforderung war die Pipeline und damit die Hauptquelle von Benzin, Diesel und Heizöl für die Ostküste der USA abgeschaltet, das erste Mal in der 57-jährigen Geschichte der Pipeline.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
Weitere IT-Trainings

"Wir hatten zu diesem Zeitpunkt keine andere Wahl", sagte Blount. "Es war absolut das Richtige, das zu tun. Zu diesem Zeitpunkt hatten wir keine Ahnung, wer uns angreift und was seine Motive sind." Anschließend untersuchte die Sicherheitsfirma Mandiant den Vorfall. "Das Letzte, was wir wollten, war, dass ein Bedrohungsakteur aktiven Zugang zu einem Netzwerk hat, in dem ein mögliches Risiko für eine Pipeline besteht. Das war der größte Fokus, bis es wieder eingeschaltet wurde", sagte Carmakal.

Bei der Untersuchung des Systems habe man keine Anzeichen dafür gefunden, dass die Angreifergruppe auch an das operative Netzwerk sowie die Computer, die den Benzinfluss der Pipeline steuern, gelangen konnten. Allerdings konnten die Eindringlinge Rechner in anderen Teilen des Firmennetzwerks verschlüsseln und insgesamt rund 100 GByte Firmendaten kopieren, mit deren Veröffentlichung sie drohten.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

4,4 Millionen US-Dollar Lösegeld bezahlt

Trotz vorhandener Backups bezahlte Colonial letztlich 4,4 Millionen US-Dollar Lösegeld an die Ransomware-Gruppe. Die sogenannte Darkside-Gruppe entschuldigte sich für die sozialen Folgen des Angriffs. Sie hätten Geld verdienen und keine gesellschaftlichen Probleme auslösen wollen, schrieben die Erpresser, nachdem es etwa zu Benzin-Hamsterkäufen an Tankstellen kam. Was die tatsächliche Motivation hinter der Entschuldigung war, ist schwer abzuschätzen.

Etwa eine Woche nach dem bekanntgewordenen Angriff gab mutmaßlich Darkside selbst bekannt, dass die Gruppe Zugriff auf ihre erbeuteten Bitcoins und ihre Blog-Infrastruktur verloren hat.

Am 12. Mai 2021 wurde die Pipeline wieder in Betrieb genommen. Das US-Justizministerium hat die Staatsanwaltschaften aufgrund des Pipline-Hacks angewiesen, koordiniert gegen Ransomware-Angriffe vorzugehen und diese mit einer ähnlichen Priorität wie Terrorismus zu behandeln.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Foundation bei Apple TV+
Die unverfilmbare Asimov-Trilogie grandios verfilmt

Gegen die Welt von Asimovs Foundation-Trilogie wirkt Game of Thrones überschaubar. Apple hat mit einem enormen Budget eine enorme Science-Fiction-Serie geschaffen.
Eine Rezension von Peter Osteried

Foundation bei Apple TV+: Die unverfilmbare Asimov-Trilogie grandios verfilmt
Artikel
  1. 600 Millionen Euro: Bundeswehr lässt Funkgeräte von 1982 nachbauen
    600 Millionen Euro
    Bundeswehr lässt Funkgeräte von 1982 nachbauen

    Das SEM 80/90 mit 16 KBit/s wird exakt nachgebaut, zum Stückpreis von rund 20.000 Euro. Das Retrogerät geht für die Bundeswehr in Serie.

  2. Elektroauto: Porsche plant kommende 718er Baureihe mit Elektroantrieb
    Elektroauto
    Porsche plant kommende 718er Baureihe mit Elektroantrieb

    Die nächste Generation der Baureihe 718 von Porsche wird elektrisch. Damit verabschieden sich Modelle wie Boxster und Cayman vom Verbrenner.

  3. Lenovo Legion 5 bei Amazon um 300 Euro reduziert
     
    Lenovo Legion 5 bei Amazon um 300 Euro reduziert

    Das Gaming-Notebook ist bei Amazon zum Top-Preis erhältlich. Zudem sind weitere Artikel von Lenovo und Huawei sowie der Kindle Paperwhite im Angebot.
    Ausgewählte Angebote des E-Commerce-Teams

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung G7 31,5" WQHD 240Hz 499€ • Lenovo-Laptops zu Bestpreisen • 19% auf Sony-TVs bei MM • Samsung SSD 980 Pro 1TB 150,50€ • Dualsense-Ladestation 35,99€ • iPhone 13 erschienen ab 799€ • Sega Discovery Sale bei GP (u. a. Yakuza 0 4,50€) [Werbung]
    •  /