Ransomware Angriff Pipeline

Die größte Benzin-Pipeline der USA ist nach einer Ransomware-Attacke auf den Betreiber des Systems, Colonial Pipeline, größtenteils außer Betrieb. Berichten zufolge stahlen die Angreifer zunächst fast 100 Gigabyte an Daten, sperrten anschliessend die Rechner – und verlangten Lösegeld. Colonial hofft, das gesamte System bis Ende der Woche wieder in Betrieb nehmen zu können. Bis dahin gilt der regionale Notstand und das Öl wird in Tanklastern transportiert.

Die Pipeline ist die Hauptquelle für Diesel, Benzin und Flugzeugtreibstoff für die amerikanische Ostküste. Über die Pipeline fließen täglich mehr als 300 Millionen Liter Treibstoff von den Raffinerien zu den wichtigsten Drehkreuzen, einschließlich der Flughäfen in Atlanta, North Carolina und New York City.

Der Angriff hat auch Auswirkungen auf die Verbraucher. Die Rohölpreise stiegen zwar seit Bekanntwerden des Angriffes erst um etwa 1%. Aber wenn der Stillstand länger als erwartet dauert, könnten die Preise um mehr als nur ein paar Cent steigen.

Als Hauptverdächtiger gilt Darkside. Die Gruppe erfahrener Cracker hat sich darauf spezialisiert, so viel Geld wie möglich aus ihren Opfern herauszupressen. Mehrere Milliarden US-Dollar an Verlusten soll das westliche Nationen in den letzten drei Jahren schon gekostet haben.

Ransom…Was?!

Die so genannte encrypting ransomware ist eine Form schadhafter Software, vielen als Malware (maleficent software) bekannt. Eine Ransomware zielt darauf ab, Unternehmensdaten durch Verschlüsselung unbrauchbar zu machen. Anschließend wird von den betroffenen Firmen Lösegeld erpresst. Das Lösegeld soll meistens in Form von Kryptowährungen (z. B. Bitcoin) gezahlt werden. Das hat einen guten Grund: Konten für solche Kryptowährungen sind meistens anonym – wer dahinter steckt, lässt sich kaum feststellen.

Ransomware hat eine lange Geschichte. Der PC-Cyborg – die erste bekannte Ransomware – war auch gleich noch eine frühe Form eines Advanced Persistent Threat (APT): es brauchte 90 Boot-Vorgänge, um sich zu aktivieren. Allerdings nutzte es eine so einfache Verschlüsselung, dass jeder halbwegs versierte Computernutzer ohne fremde Hilfe wieder an seine Daten kam. Nach weiteren eher halbherzigen Erpressungsversuchen mit verschlüsselten Daten hatten eine Zeit lang so genannte Locker Konjunktur. Für erfahrene Anwender war das immer noch keine ernste Bedrohung. Das änderte sich erst 2013. Die Ransomware CryptoLocker nutzte eine für militärische Zwecke geeignete Verschlüsselung. Die für die Entschlüsselung notwendigen Schlüssel wurden erstmals nicht mehr lokal gespeichert, sondern remote auf einem Server im Netz. Das war so effektiv, dass diese Mechanismen bis heute angewendet werden. Prominente Vertreter der Neuzeit sind WannaCry und Petya (beide 2017), Ryuk (2018) oder Sodinokibi (2019). Mittlerweile entdecken die Angreifer zudem das volle Cloud-Potential und suchen bzw. attackieren ihre Ziele u. a. über Managed Serives Provider (MSPs). Cybersecurity Ventures verzeichnete bereits 2019 alle 14 Sekunden einen Angriffsversuch durch Ransomware.

Der 2020 Data Breach Investigations Report von Verizon deckt auf: 86% aller Cyberangriffe sind finanziell motiviert, hinter 55% der Attacken stecken kriminelle Organisationen. Von gezielten Angriffen über das Finden und Ausnutzen von Schwachstellen bis zum Einsatz schadhafter Software ist den Crackern dabei jedes Mittel recht.

Im Oktober 2019 schockte der Angriff auf den Maschinen und Anlagenbauer Pilz GmbH & Co. KG die deutsche Industrie. In einem Video spricht Geschäftsführer Thomas Pilz offen über den Hackerangriff auf sein Unternehmen. Seitdem folgen weitere erfolgreiche Angriffe.

Nur ein Unfall!

Beim Hackerangriff mit der Ransomware „DoppelPaymer“ wurden im September 2020 mehrere Server der Uniklinik Düsseldorf verschlüsselt. Der Angriff störte den Regelbetrieb der Klinik massiv: Operationen mussten ausgesetzt werden, die Notaufnahme war nicht einsatzfähig und Notarztwagen, Hubschrauber sowie Krankenwagen konnten die Uniklinik nicht anfahren. Auch der Zugriff auf Patientendaten war nicht mehr möglich. Die Attacke ging als erster Ransomware-Angriff mit Todesfolge in die Geschichte ein. Was war passiert? Ein Krankenwagen konnte die Uniklinik nicht anfahren und eine Frau erlag den Folgen eines Herzanfalls. Später stellte sich allerdings heraus, sie wäre wahrscheinlich sowieso gestorben. Die Angreifer behaupteten dennoch, dass sie eigentlich die Server der Düsseldorfer Universität treffen wollten.

Auch Darkside distanziert sich jetzt von dem Angriff auf die Pipeline. Ihr Ziel sei es nicht, medizinische, schulische oder staatliche Ziele anzugreifen. Man habe es ausschließlich auf große Unternehmen abgesehen. Außerdem spende man ja einen Teil der Einnahmen für wohltätige Zwecke.

Wir glauben den Crackern, “dass sie sich irgendwie schlecht fühlen.” In einer Erklärung, die gestern auf ihrer Website veröffentlicht wurde, betont DarkSide erneut, dass sie unpolitisch seien und begründen es abermals mit dem Ziel, “Geld zu verdienen, und nicht, Probleme für die Gesellschaft zu schaffen.”

Nun basiert aber ein Großteil des Geschäftes von DarkSide auch auf dem Verkauf von Ransomware. DarkSide möchte in Zukunft genauer darauf achten, welche Ziele ihre Kunden anvisieren. Dass das funktioniert, wagen wir entschieden zu bezweifeln.

Eingebaute Unverwundbarkeit für mehr Widerstandskraft

Firmen, Behörden und ganz besonders Betreiber kritischer Infrastruktur (KRITIS) sollten sich schützen. Und mit Schutz meinen wir nicht uralte Technologie wie Virenscanner. Netzwerksicherheit auf Basis von Whitelisting und mit Anomalie-Erkennung sollte das Mindeste sein. Außerdem hilft eine moderne Backup- und Disaster-Recovery-Strategie. Auf diese Form der Ransomware-Protection gehen wir in einem unserer nächsten Artikel noch detaillierter ein. So viel vorab: Cloud-Backup mit unverwundbaren (immutable) Dateisystemen und Instant-Recovery-Mechanismen spielen eine Rolle. Ein bisschen was dazu haben wir bereits in unserem Artikel über Backup und Disaster Recovery in der Cloud gesagt.