{"id":26738,"date":"2021-05-14T15:03:39","date_gmt":"2021-05-14T13:03:39","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=26738"},"modified":"2021-05-14T17:08:37","modified_gmt":"2021-05-14T15:08:37","slug":"pipeline-ransomware-mitigation","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/pipeline-ransomware-mitigation\/26738\/","title":{"rendered":"Wie Colonial Pipeline auf den Ransomware-Angriff reagiert hat"},"content":{"rendered":"

Der vor Kurzem durchgef\u00fchrte Ransomware-Angriff auf Colonial Pipeline, das Unternehmen mit dem Pipelinenetz, das den Gro\u00dfteil der US-Ostk\u00fcste mit Treibstoff versorgt, z\u00e4hlt zu den bisher bedeutendsten Angriffen dieser Art. Logischerweise wurden die Details des Angriffs nicht ver\u00f6ffentlicht. Trotzdem bekamen die Medien Wind von ein paar Informationen und daraus k\u00f6nnen wir zumindest eine Schlussfolgerung ziehen: Die Strafverfolgungsbeh\u00f6rden rechtzeitig zu informieren kann hilfreich sein, um den Schaden zu reduzieren. In manchen L\u00e4ndern haben die Opfer noch nicht einmal die Wahl, denn sie sind gesetzlich dazu verpflichtet Erpressungsangriffe zu melden. Aber selbst wenn es nicht vorgeschrieben ist, ist es in der Regel die richtige Entscheidung.<\/p>\n

Der Erpressungsangriff<\/h2>\n

Am 7. Mai erlitt Colonial Pipeline, der Betreiber des gr\u00f6\u00dften Pipelinenetzes der US-Ostk\u00fcste, einen Ransomware-Angriff. Die Mitarbeiter sahen sich gezwungen einige der IT-Systeme vom Internet zu trennen. Zum einen, weil die Computer verschl\u00fcsselt wurden und zum anderen, weil sie dadurch die Verbreitung der PC-Infektion verhindern wollten. Dadurch wurden die Treibstofflieferungen in den Orten der Ostk\u00fcste schwer beeintr\u00e4chtigt und der Spritpreis stieg um 4 % an. Das Unternehmen hat vor, die Lieferungen zu beschleunigen<\/a>, um die Versorgungsengp\u00e4sse zu minimieren.<\/p>\n

Derzeit wird an der Wiederherstellung des Systems gearbeitet. Allerdings ist, laut den Quellen vom Blog Zero Day<\/a>, das Abrechnungssystem mehr von dem Angriff betroffen als das Servicenetz.<\/p>\n

Ausruf des nationalen Notstandes<\/h2>\n

Moderne Ransomware-Betreiber verschl\u00fcsseln die Daten nicht nur, um L\u00f6segeld zu fordern, sie stehlen die Informationen auch und nutzen diese als zus\u00e4tzliches Druckmittel. Bei dem Angriff auf Colonial Pipeline, haben die Cyberverbrecher ca. 100 Gigabyte interne Daten<\/a> im Unternehmensnetzwerk gestohlen.<\/p>\n

Laut Washington Post<\/em><\/a> konnten externe Sicherheitsforscher allerdings schnell herausfinden was geschehen war und wo sich die gestohlenen Daten befanden. Mit diesen Informationen in der Hand wurde direkt das FBI benachrichtigt. Die FBI-Agenten informierten den Internetanbieter, der f\u00fcr den entsprechenden Server zust\u00e4ndig ist und konnten erreichen, dass die hochgeladenen Daten isoliert und nicht weitergeleitet wurden. Durch diese Ma\u00dfnahmen haben die Cyberverbrecher m\u00f6glicherweise den Zugriff auf die gestohlenen Daten verloren. Auf jeden Fall hat das schnelle Handeln zumindest einen Teil des Schadens einged\u00e4mmt.<\/p>\n

Herauszufinden, was genau vorgefallen ist, bringt die Pipelines zwar nicht sofort zur\u00fcck ins Netz, aber es h\u00e4tte durchaus schlimmer ausfallen k\u00f6nnen.<\/p>\n

Die Angreifer<\/h2>\n

Scheinbar wurde das Unternehmen von der DarkSide-Ransomware angegriffen, die sowohl auf Windows und Linux laufen kann. Die Produkte von Kaspersky haben die Malware als Trojan-Ransom.Win32.Darkside und Trojan-Ransom.Linux.Darkside entdeckt. DarkSide verwendet starke Verschl\u00fcsselungsalgorithmen, wodurch die Entschl\u00fcsselung ohne den richtigen Schl\u00fcssel unm\u00f6glich ist.<\/p>\n

Oberfl\u00e4chlich sieht die DarkSide-Gruppe<\/a> wie ein Online-Dienstleister aus und verf\u00fcgt \u00fcber einen Helpdesk, eine PR-Abteilung und ein Pressezentrum. Die Gruppe gab auf ihrer Website an, dass der Angriff aus finanziellen und nicht aus politischen Gr\u00fcnden durchgef\u00fchrt wurde.<\/p>\n

\"\"<\/p>\n

Die DarkSide-Gruppe verwendet ein Modell, das auf Ransomware-as-a-Service (RaaS)<\/a> basiert, d. h. sie stellen Partnern Software und zugeh\u00f6rige Infrastruktur f\u00fcr die Angriffe zur Verf\u00fcgung. Einer dieser Partner ist der Verantwortliche f\u00fcr den Angriff auf Colonial Pipeline. Laut DarkSide sollte der Angriff nicht solche verheerenden Folgen f\u00fcr die Bev\u00f6lkerung haben. Sie versprechen auch, zuk\u00fcnftig besser zu kontrollieren, welche Opfer von ihren Partnern f\u00fcr die Angriffe ausgew\u00e4hlt werden. Allerdings ist nicht ganz klar, ob diese Aussage nicht einfach ein weiterer PR-Trick der Gruppe ist.<\/p>\n

So k\u00f6nnen Sie sich sch\u00fctzen<\/h2>\n

Unsere Experten empfehlen Folgendes, um Ihr Unternehmen effektiv zu sch\u00fctzen:<\/p>\n