Angriff auf Pipeline-Betreiber Colonial

Großwildjagd im Kritis-Gehege

12. Mai 2021, 12:00 Uhr |

Fortsetzung des Artikels von Teil 1

Big Game Hunting

Carbon Spiders Abkehr von Angriffskampagnen gegen POS-Systeme ist laut CrowdStrike ein Beispiel für einen breiteren Trend, dass Cyberkriminelle ihre Tätigkeitsfelder verlagern und sich auf potenziell sehr einträgliche Ziele konzentrieren. Zielgerichtete Ransomware-Angriffe haben sich in den vergangenen Jahren gehäuft, wie Kaspersky-Analysen zeigen: Ihre Anzahl ist laut dem russischen Sicherheitsanbieter von 2019 bis 2020 um 767 Prozent gestiegen. Teil dieses Trends sind laut Kaspersky-Angaben immer mehr Angriffe auf Industrieunternehmen, dies betreffe auch Deutschland.

„DarkSide ist eine typische Gruppe von Cyberkriminellen, die am ‚Big Game Hunting‘ beteiligt ist“, erläutert Vladimir Kuskov, Head of Threat Exploration bei Kaspersky. Die Angreifer arbeiten laut Erkenntnissen von Kaspersky wie auch von CrowdStrike über Affiliate-Partner-Programme, bieten also „Ransomware as a Service“ für „Partner“, die wiederum den Zugriff auf Organisationen von anderen Hackern kaufen und diesen dann für ihre Erpressungskampagne nutzen.

Der britische Security-Spezialist Sophos spricht in seinem Report zu DarkSide von einem regelrechten „Affiliate-Programm“. „DarkSide tritt in die Fußstapfen von Ransomware-Betreibern mit doppelter Erpressung wie REvil, Maze und LockBit – es infiltriert Geschäftsdaten, bevor es sie verschlüsselt, und droht mit der Veröffentlichung, wenn die Opfer nicht für einen Entschlüsselungs-Key zahlen“, so Sophos.

Im Gegensatz zu manchen anderen Gruppen behauptet DarkSide/Carbon Spider, einen Verhaltenskodex zu haben: Man greife keine Krankenhäuser, Schulen, Regierungsinstitutionen oder gemeinnützige Organisationen an. Über die politische Dimension des Angriffs auf den Pipeline-Betreiber gab sich die Angreifergruppe überrascht. So hat sie kurz nach Bekanntwerden des Angriffs eine Erklärung auf ihrer Homepage veröffentlicht: Man sei ausschließlich am Geld interessiert und habe nicht mit derart weitreichenden Konsequenzen des Angriffs gerechnet. Die Kriminellen gaben an, gegenüber ihren Partnern Maßnahmen zur „Moderation“ ergreifen zu wollen, um ähnliche Situationen künftig zu vermeiden.

Dies sieht Kaspersky-Forscher Roman Dedenok skeptisch: „Das Ziel von DarkSide ist es, so viel Online-Rummel wie möglich zu erzeugen. Mehr Aufmerksamkeit in den Medien könnte dazu führen, dass sich die Angst vor DarkSide weiter ausbreitet, was möglicherweise bedeutet, dass sich das nächste Opfer dazu entschließt, einfach zu zahlen, anstatt Ärger zu machen.“

Anbieter zum Thema

zu Matchmaker+
Die Zahlungsaufforderung von DarkSide.
Die Zahlungsaufforderung von DarkSide.
© Sophos

In der Tat gehen die Erpresser inzwischen nicht nur sehr zielstrebig, sondern auch sehr raffiniert vor. Ein kleines Indiz: Um den Druck bei der Erpressung zu erhöhen, hat die Gruppe zum Beispiel einen automatischen Countdown-Timer erstellt, der die Zeit bis zur Verdopplung der Lösegeldforderung und der Veröffentlichung von Daten anzeigt.

Laut CNN haben die Colonial-Erpresser nicht die OT-Systeme selbst kompromittiert, sondern die Abrechnungssoftware. Der Pipeline-Betreiber konnte so nicht mehr zuordnen, wer wie viel Benzin oder Kerosin erhalten hatte. Laut Bloomberg hat das Unternehmen deshalb schon kurz nach dem Angriff fünf Millionen Dollar Lösegeld gezahlt, um wieder Zugriff auf seine Daten zu bekommen. Man habe daraufhin ein Entschlüsselungstool erhalten, die Daten aber dennoch aus dem Backup rekonstruiert, da dieses Tool sehr langsam gearbeitet habe, so die Nachrichtenagentur.

„Das Herunterfahren von OT-Umgebungen (Operational Technology, industrielle Betriebstechnik, d.Red.) kann Hunderte von Millionen Dollar kosten, was die Anbieter dazu zwingt, die Kosten aufzuwiegen“, erklärt Marty Edwards, VP of OT Security bei Tenable, einem weiteren US-Security-Spezialisten. „Wir sollten diese Gruppen nicht unterschätzen. Viele von ihnen verfügen mittlerweile über Helpdesks, technischen Support, Lohnabrechnungen und Subunternehmer. Sie sind im Wesentlichen vollwertige kriminelle Unternehmen, die in der digitalen Welt operieren.“

Es gibt laut Kaspersky-Angaben zwei Versionen der DarkSide-Ransomware: für Windows und Linux. Beide Versionen verfügen laut den Security-Fachleuten über ein sicheres kryptografisches Schema, sodass eine Entschlüsselung ohne Key nicht möglich ist. In der Vergangenheit habe die Gruppe zwar für mehrere Opfer dieselben Schlüssel verwendet, sodass Sicherheitsunternehmen ein Entschlüsselungs-Tool erstellen konnten; die Gruppe habe das aber längst abgestellt, sodass diese Möglichkeit nicht mehr bestehe.

Kaspersky betont, die hauseigene Sicherheitssoftware erkenne die DarkSide-Malware als Trojan-Ransom.Win32.Darkside und Trojan-Ransom.Linux.Darkside. Zum Schutz vor Ransomware-Angriffen rät der Security-Anbieter zu folgenden Maßnahmen:

  • Remote-Desktop-Dienste nicht-öffentlicher Netzwerke aussetzen, es sei denn, dies ist unbedingt erforderlich.
  • Sichere Kennwörter für alle Dienste verwenden.
  • Umgehend verfügbare Patches für kommerzielle VPN-Lösungen installieren, die den Zugriff für Remote-Mitarbeiter ermöglichen und als Gateways im Netzwerk fungieren.
  • Software auf allen verwendeten Geräten auf dem neuesten Stand halten, um zu verhindern, dass Ransomware Schwachstellen ausnutzt.
  • Die eigene Verteidigungsstrategie auf die Erkennung lateraler Bewegungen und Datenexfiltration ins Internet konzentrieren sowie ausgehendem Verkehr besondere Aufmerksamkeit widmen, um von Cyberkriminellen genutzte Verbindungen zu identifizieren.

„Ich fürchte, dass der Cyberangriff auf Colonial Pipeline nur ein Vorgeschmack auf die Zukunft der Cyberangriffe ist“, sagt Grant Geyer, CPO bei Claroty, einem israelisch-amerikanischen Spezialisten für industrielle Cybersicherheit. Industrieumgebungen laufen laut Geyer oft auf einer Infrastruktur, die mit veralteter Technologie arbeitet und sich nicht patchen lässt. „Zudem sind oftmals die Mitarbeiter technisch nicht so versiert, wie sie es sein müssten, um Angriffe erfolgreich abzuwehren,“ so Geyer. Dies führe zu einer Situation, in der das Sicherheitsrisiko „unakzeptabel hoch“ ist. „Und in einigen Fällen sind die Betreiber blind für dieses Risiko“, warnt er.

Eine interessante Lehre aus dem Colonial-Angriff ist: Die Bösen müssen gar nicht unbedingt die OT der kritischen Infrastruktur selbst lahmlegen; es reicht mitunter schon aus, lediglich die Abrechnungssoftware des Betreibers zu kompromittieren – zumindest wenn besagte kritische Infrastruktur in den Händen privatwirtschaftlicher Betreiber ist. Ob Cyberverbrechen oder Cyberkriegsführung: Daten sind für die Angreifer so oder so das neue Öl. Es gilt also, diesen wertvollen Rohstoff deutlich besser zu schützen als bisher, will man einen Flächenbrand vermeiden – oder auch nur die Etablierung einer Daten-Pipeline ins nicht ganz so freundlich gesinnte Ausland.


  1. Großwildjagd im Kritis-Gehege
  2. Big Game Hunting

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Kaspersky

Weitere Artikel zu CrowdStrike GmbH

Weitere Artikel zu Security-Management

Weitere Artikel zu Security-Services

Weitere Artikel zu Desko GmbH

Weitere Artikel zu Broadcom

Weitere Artikel zu ORGAPLAN Informationssysteme GmbH

Weitere Artikel zu Emerson Network Power (neu)

Weitere Artikel zu Sat-Fachgroßhandel Robitronic

Matchmaker+