Wie Colonial Pipeline auf den Ransomware-Angriff reagiert hat

Sollten die Strafverfolgungsbehörden bei einem Ransomware-Angriff benachrichtigt werden?

Der vor Kurzem durchgeführte Ransomware-Angriff auf Colonial Pipeline, das Unternehmen mit dem Pipelinenetz, das den Großteil der US-Ostküste mit Treibstoff versorgt, zählt zu den bisher bedeutendsten Angriffen dieser Art. Logischerweise wurden die Details des Angriffs nicht veröffentlicht. Trotzdem bekamen die Medien Wind von ein paar Informationen und daraus können wir zumindest eine Schlussfolgerung ziehen: Die Strafverfolgungsbehörden rechtzeitig zu informieren kann hilfreich sein, um den Schaden zu reduzieren. In manchen Ländern haben die Opfer noch nicht einmal die Wahl, denn sie sind gesetzlich dazu verpflichtet Erpressungsangriffe zu melden. Aber selbst wenn es nicht vorgeschrieben ist, ist es in der Regel die richtige Entscheidung.

Der Erpressungsangriff

Am 7. Mai erlitt Colonial Pipeline, der Betreiber des größten Pipelinenetzes der US-Ostküste, einen Ransomware-Angriff. Die Mitarbeiter sahen sich gezwungen einige der IT-Systeme vom Internet zu trennen. Zum einen, weil die Computer verschlüsselt wurden und zum anderen, weil sie dadurch die Verbreitung der PC-Infektion verhindern wollten. Dadurch wurden die Treibstofflieferungen in den Orten der Ostküste schwer beeinträchtigt und der Spritpreis stieg um 4 % an. Das Unternehmen hat vor, die Lieferungen zu beschleunigen, um die Versorgungsengpässe zu minimieren.

Derzeit wird an der Wiederherstellung des Systems gearbeitet. Allerdings ist, laut den Quellen vom Blog Zero Day, das Abrechnungssystem mehr von dem Angriff betroffen als das Servicenetz.

Ausruf des nationalen Notstandes

Moderne Ransomware-Betreiber verschlüsseln die Daten nicht nur, um Lösegeld zu fordern, sie stehlen die Informationen auch und nutzen diese als zusätzliches Druckmittel. Bei dem Angriff auf Colonial Pipeline, haben die Cyberverbrecher ca. 100 Gigabyte interne Daten im Unternehmensnetzwerk gestohlen.

Laut Washington Post konnten externe Sicherheitsforscher allerdings schnell herausfinden was geschehen war und wo sich die gestohlenen Daten befanden. Mit diesen Informationen in der Hand wurde direkt das FBI benachrichtigt. Die FBI-Agenten informierten den Internetanbieter, der für den entsprechenden Server zuständig ist und konnten erreichen, dass die hochgeladenen Daten isoliert und nicht weitergeleitet wurden. Durch diese Maßnahmen haben die Cyberverbrecher möglicherweise den Zugriff auf die gestohlenen Daten verloren. Auf jeden Fall hat das schnelle Handeln zumindest einen Teil des Schadens eingedämmt.

Herauszufinden, was genau vorgefallen ist, bringt die Pipelines zwar nicht sofort zurück ins Netz, aber es hätte durchaus schlimmer ausfallen können.

Die Angreifer

Scheinbar wurde das Unternehmen von der DarkSide-Ransomware angegriffen, die sowohl auf Windows und Linux laufen kann. Die Produkte von Kaspersky haben die Malware als Trojan-Ransom.Win32.Darkside und Trojan-Ransom.Linux.Darkside entdeckt. DarkSide verwendet starke Verschlüsselungsalgorithmen, wodurch die Entschlüsselung ohne den richtigen Schlüssel unmöglich ist.

Oberflächlich sieht die DarkSide-Gruppe wie ein Online-Dienstleister aus und verfügt über einen Helpdesk, eine PR-Abteilung und ein Pressezentrum. Die Gruppe gab auf ihrer Website an, dass der Angriff aus finanziellen und nicht aus politischen Gründen durchgeführt wurde.

Die DarkSide-Gruppe verwendet ein Modell, das auf Ransomware-as-a-Service (RaaS) basiert, d. h. sie stellen Partnern Software und zugehörige Infrastruktur für die Angriffe zur Verfügung. Einer dieser Partner ist der Verantwortliche für den Angriff auf Colonial Pipeline. Laut DarkSide sollte der Angriff nicht solche verheerenden Folgen für die Bevölkerung haben. Sie versprechen auch, zukünftig besser zu kontrollieren, welche Opfer von ihren Partnern für die Angriffe ausgewählt werden. Allerdings ist nicht ganz klar, ob diese Aussage nicht einfach ein weiterer PR-Trick der Gruppe ist.

So können Sie sich schützen

Unsere Experten empfehlen Folgendes, um Ihr Unternehmen effektiv zu schützen:

  • Verbieten Sie unnötige Verbindungen zu Remote Desktop Services (beispielsweise Remote Desktop Protocol) von öffentlichen Netzwerken und verwenden Sie immer starke Passwörter für diese Art von Service.
  • Installieren Sie grundsätzlich alle Patches für VPN-Lösungen, mit denen sich Ihre Remote-Mitarbeiter mit dem Unternehmensnetzwerk verbinden.
  • Aktualisieren Sie alle Geräte, die mit dem Internet verbunden sind, um Exploits von Schwachstellen zu vermeiden.
  • Achten Sie im Rahmen Ihrer Schutzstrategie vor allem auf Seitwärtsbewegungen und Daten-Exfiltrationen. Behalten Sie dabei besonders den Outbound-Traffic im Auge.
  • Erstellen Sie regelmäßig Sicherheitskopien und versichern Sie sich, dass Sie für den Notfall schnell darauf zugreifen können.
  • Wählen Sie das richtige Threat Intelligence-Programm aus, das immer auf dem Laufenden über Taktiken, Techniken und Vorgängen von Cyberbedrohungen ist.
  • Verwenden Sie Sicherheitslösungen, wie Kaspersky Endpoint Detection and Response und Kaspersky Managed Detection and Response, mit denen die Angriffe direkt am Anfang abgewehrt werden können.
  • Schulen Sie Ihre Mitarbeiter auf die IT-Sicherheit im Unternehmen zu achten.
  • Nutzen Sie eine zuverlässige Lösung für Endpoint-Sicherheit, die Exploits abwehren sowie unübliches Verhalten erkennen kann und außerdem dazu in der Lage ist, bösartige Änderungen rückgängig zu machen und das System wiederherstellen kann.

Der Vorfall bei Colonial Pipeline zeigt, dass es von Vorteil ist, die Strafverfolgungsbehörden schnell zu benachrichtigen. Es gibt natürlich keine Garantie dafür, dass die Behörden helfen können, aber es besteht immer die Möglichkeit, dadurch den Schaden zu minimieren.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.