Ransomware

Wie Colonial Pipeline auf den Ransomware-Angriff reagiert hat

Sollten die Strafverfolgungsbehörden bei einem Ransomware-Angriff benachrichtigt werden?

Nikolay Pankov
14 Mai 2021

Der vor Kurzem durchgeführte Ransomware-Angriff auf Colonial Pipeline, das Unternehmen mit dem Pipelinenetz, das den Großteil der US-Ostküste mit Treibstoff versorgt, zählt zu den bisher bedeutendsten Angriffen dieser Art. Logischerweise wurden die Details des Angriffs nicht veröffentlicht. Trotzdem bekamen die Medien Wind von ein paar Informationen und daraus können wir zumindest eine Schlussfolgerung ziehen: Die Strafverfolgungsbehörden rechtzeitig zu informieren kann hilfreich sein, um den Schaden zu reduzieren. In manchen Ländern haben die Opfer noch nicht einmal die Wahl, denn sie sind gesetzlich dazu verpflichtet Erpressungsangriffe zu melden. Aber selbst wenn es nicht vorgeschrieben ist, ist es in der Regel die richtige Entscheidung.

Der Erpressungsangriff

Am 7. Mai erlitt Colonial Pipeline, der Betreiber des größten Pipelinenetzes der US-Ostküste, einen Ransomware-Angriff. Die Mitarbeiter sahen sich gezwungen einige der IT-Systeme vom Internet zu trennen. Zum einen, weil die Computer verschlüsselt wurden und zum anderen, weil sie dadurch die Verbreitung der PC-Infektion verhindern wollten. Dadurch wurden die Treibstofflieferungen in den Orten der Ostküste schwer beeinträchtigt und der Spritpreis stieg um 4 % an. Das Unternehmen hat vor, die Lieferungen zu beschleunigen, um die Versorgungsengpässe zu minimieren.

Derzeit wird an der Wiederherstellung des Systems gearbeitet. Allerdings ist, laut den Quellen vom Blog Zero Day, das Abrechnungssystem mehr von dem Angriff betroffen als das Servicenetz.

Ausruf des nationalen Notstandes

Moderne Ransomware-Betreiber verschlüsseln die Daten nicht nur, um Lösegeld zu fordern, sie stehlen die Informationen auch und nutzen diese als zusätzliches Druckmittel. Bei dem Angriff auf Colonial Pipeline, haben die Cyberverbrecher ca. 100 Gigabyte interne Daten im Unternehmensnetzwerk gestohlen.

Laut Washington Post konnten externe Sicherheitsforscher allerdings schnell herausfinden was geschehen war und wo sich die gestohlenen Daten befanden. Mit diesen Informationen in der Hand wurde direkt das FBI benachrichtigt. Die FBI-Agenten informierten den Internetanbieter, der für den entsprechenden Server zuständig ist und konnten erreichen, dass die hochgeladenen Daten isoliert und nicht weitergeleitet wurden. Durch diese Maßnahmen haben die Cyberverbrecher möglicherweise den Zugriff auf die gestohlenen Daten verloren. Auf jeden Fall hat das schnelle Handeln zumindest einen Teil des Schadens eingedämmt.

Herauszufinden, was genau vorgefallen ist, bringt die Pipelines zwar nicht sofort zurück ins Netz, aber es hätte durchaus schlimmer ausfallen können.

Die Angreifer

Scheinbar wurde das Unternehmen von der DarkSide-Ransomware angegriffen, die sowohl auf Windows und Linux laufen kann. Die Produkte von Kaspersky haben die Malware als Trojan-Ransom.Win32.Darkside und Trojan-Ransom.Linux.Darkside entdeckt. DarkSide verwendet starke Verschlüsselungsalgorithmen, wodurch die Entschlüsselung ohne den richtigen Schlüssel unmöglich ist.

Oberflächlich sieht die DarkSide-Gruppe wie ein Online-Dienstleister aus und verfügt über einen Helpdesk, eine PR-Abteilung und ein Pressezentrum. Die Gruppe gab auf ihrer Website an, dass der Angriff aus finanziellen und nicht aus politischen Gründen durchgeführt wurde.

Die DarkSide-Gruppe verwendet ein Modell, das auf Ransomware-as-a-Service (RaaS) basiert, d. h. sie stellen Partnern Software und zugehörige Infrastruktur für die Angriffe zur Verfügung. Einer dieser Partner ist der Verantwortliche für den Angriff auf Colonial Pipeline. Laut DarkSide sollte der Angriff nicht solche verheerenden Folgen für die Bevölkerung haben. Sie versprechen auch, zukünftig besser zu kontrollieren, welche Opfer von ihren Partnern für die Angriffe ausgewählt werden. Allerdings ist nicht ganz klar, ob diese Aussage nicht einfach ein weiterer PR-Trick der Gruppe ist.

So können Sie sich schützen

Unsere Experten empfehlen Folgendes, um Ihr Unternehmen effektiv zu schützen:

Verbieten Sie unnötige Verbindungen zu Remote Desktop Services (beispielsweise Remote Desktop Protocol) von öffentlichen Netzwerken und verwenden Sie immer starke Passwörter für diese Art von Service.
Installieren Sie grundsätzlich alle Patches für VPN-Lösungen, mit denen sich Ihre Remote-Mitarbeiter mit dem Unternehmensnetzwerk verbinden.
Aktualisieren Sie alle Geräte, die mit dem Internet verbunden sind, um Exploits von Schwachstellen zu vermeiden.
Achten Sie im Rahmen Ihrer Schutzstrategie vor allem auf Seitwärtsbewegungen und Daten-Exfiltrationen. Behalten Sie dabei besonders den Outbound-Traffic im Auge.
Erstellen Sie regelmäßig Sicherheitskopien und versichern Sie sich, dass Sie für den Notfall schnell darauf zugreifen können.
Wählen Sie das richtige Threat Intelligence-Programm aus, das immer auf dem Laufenden über Taktiken, Techniken und Vorgängen von Cyberbedrohungen ist.
Verwenden Sie Sicherheitslösungen, wie Kaspersky Endpoint Detection and Response und Kaspersky Managed Detection and Response, mit denen die Angriffe direkt am Anfang abgewehrt werden können.
Schulen Sie Ihre Mitarbeiter auf die IT-Sicherheit im Unternehmen zu achten.
Nutzen Sie eine zuverlässige Lösung für Endpoint-Sicherheit, die Exploits abwehren sowie unübliches Verhalten erkennen kann und außerdem dazu in der Lage ist, bösartige Änderungen rückgängig zu machen und das System wiederherstellen kann.

Der Vorfall bei Colonial Pipeline zeigt, dass es von Vorteil ist, die Strafverfolgungsbehörden schnell zu benachrichtigen. Es gibt natürlich keine Garantie dafür, dass die Behörden helfen können, aber es besteht immer die Möglichkeit, dadurch den Schaden zu minimieren.

Benachrichtigungen in Android effektiv verwalten

So reduzieren Sie die Informationsflut und verpassen trotzdem nichts Wichtiges auf dem Android-Gerät.

Tipps

Gleich kommt das (verifizierte) Vögelchen – Fake oder Wirklichkeit?

So unterscheidest du echte Fotos und Videos von Fakes und stellst ihre Herkunft fest

Zu Kaspersky wechseln: Schritt-für-Schritt-Anleitung für die Migration

So stellst du den Cyberschutz deines Computers oder Smartphones auf die am häufigsten ausgezeichnete Kaspersky-Sicherheitslösung um.

Boss oder Betrüger? Betrug, getarnt als Auftrag deines Chefs

Du hast eine Nachricht von deinem Chef oder einem Kollegen erhalten, in der du auf unerwartete Weise aufgefordert wirst, ein Problem zu beheben? Achtung vor Betrügern! Wie schützt du dich und dein Unternehmen vor einem möglichen Angriff?

Mehr Sicherheit für Privatanwender

Sicherheitsunternehmen bieten intelligente Technologien – in erster Linie Kameras – an, um dein Zuhause vor Einbruch, Feuer und anderen Zwischenfällen zu schützen. Aber wie wäre es, diese Sicherheitssysteme selbst vor Eindringlingen zu schützen? Das ist eine Lücke, die wir füllen.

KOSTENLOSE TOOLS

TARGETED SECURITY-LÖSUNGEN

ENTERPRISE SOLUTIONS

Wie Colonial Pipeline auf den Ransomware-Angriff reagiert hat

Der Erpressungsangriff

Ausruf des nationalen Notstandes

Die Angreifer

So können Sie sich schützen

Der MOVEit-Hack und seine Nachwirkungen

So waschen Kriminelle korrupte Kryptowährung

Benachrichtigungen in Android effektiv verwalten

Tipps

Gleich kommt das (verifizierte) Vögelchen – Fake oder Wirklichkeit?

Zu Kaspersky wechseln: Schritt-für-Schritt-Anleitung für die Migration

Boss oder Betrüger? Betrug, getarnt als Auftrag deines Chefs

Mehr Sicherheit für Privatanwender

Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen

LÖSUNGEN FÜR HEIMANWENDER

KLEINE UNTERNEHMEN

MITTLERE UNTERNEHMEN

GROSSE UNTERNEHMEN

Securelist

Eugene Personal Blog

Enzyklopädie