Ransomware-Angriff auf US-Pipeline-Betreiber (Mai 2021)

[English]Die letzten Tage gab es wieder spektakuläre Fälle von Ransomware-Infektionen auf Firmen und Organisationen. Der größte Fall ereignete sich Donnerstag voriger Woche in den USA, wo die größte U.S.-Pipeline-Firma nach einem erfolgreichen Angriff mit Ransomware ihren Betrieb einstellen musste. Dabei wurde aus Vorsichtsgründen auch die Pipeline, die US-Ostküste mit Treibstoff versorgt, abgeschaltet.

Ransomware bei Colonial Pipeline

Colonial Pipeline transportiert raffinierte Erdölprodukte zwischen Raffinerien an der Golfküste zu den Abnehmern im Süden und Osten der USA. Dabei werden täglich 2,5 Millionen Barrel durch die 8850 km lange Pipeline – das sind ca. 45 % des gesamten an der Ostküste verbrauchten Kraftstoffs. Das Wallstreet Journal, welches hier über den Vorfall berichtete, hat auch eine Karte mit dem Verlauf der Pipeline veröffentlicht.

Das Wallstreet Journal berichtete, dass der Betreiber die Pipeline letzten Freitag vorrübergehend abgeschaltet habe, nachdem die IT der Firma durch Ransomware befallen war. Das Ganze war aber mehr eine Vorsichtsmaßnahme, nachdem das Unternehmen Opfer eines Ransomware-Angriffs wurde. Ziel war es, durch den Shutdown die Bedrohung einzudämmen. Inzwischen ist klar, dass lediglich die IT des Betreibers durch Ransomware befallen und Dateien auf den Servern sowie Clients verschlüsselt wurden. Die Steuerungssysteme der Pipeline waren nach Insidern aber nicht betroffen.

Das Unternehmen, Colonial Pipeline, hat den Ransomware-Befall letzten Samstag in dieser Stellungnahme bestätigt. Darin heißt es, dass das Unternehmen am Freitag, den 7. Mai 2021, erfuhr, dass es Opfer eines Cybersecurity-Angriffs geworden ist. Inzwischen wurde festgestellt, dass es sich bei diesem Vorfall um Ransomware handelt. Als Reaktion darauf habe man proaktiv bestimmte Systeme offline genommen, um die Bedrohung einzudämmen. Das führte dazu, dass man den gesamten Pipeline-Betrieb vorübergehend gestoppt habe und einige der IT-Systeme beeinträchtigte. Das Unternehmen hat Sicherheitsexperten von FireEye beauftragt, um eine Untersuchung zu Art und Umfang dieses Vorfalls durchzuführen. Die Strafverfolgungsbehörden und andere Bundesbehörden wurden kontaktiert.

Daten vorher abgezogen

Das US-Magazin Bloomberg berichtet hier, dass das Unternehmen Opfer der DarkSide-Ransomware-Gang geworden seien und dass diese 100 Gigabyte an Daten aus dem Firmennetzwerk abgezogen habe, bevor die Dateien auf den Systemen verschlüsselt wurden. Die Eindringlinge hätten aber bereits am Donnerstag (6. Mai 2021) in nur zwei Stunden die fast 100 Gigabyte Daten aus dem Netzwerk des Unternehmens in Alpharetta, Georgia, entwendet. Bloomberg beruft sich auf zwei an den Ermittlungen von Colonial beteiligte Personen.

Es ist also davon auszugehen, dass die Gang versuchen wird, das Unternehmen mit der Veröffentlichung dieser Daten zu erpressen und Lösegeld zu kassieren. Die US-Gesetze verbieten den Unternehmen aber, zu zahlen, diese benötigen eine Genehmigung der Behörden dazu. Wann die Pipeline wieder in Betrieb geht und ob es Auswirkungen auf den Kraftstoffmarkt an der Ostküste der USA hat, ist momentan unklar. Ergänzung: Inzwischen hat US-Präsident Biden den Notfall ausgerufen, da die Treibstoffversorgung an der US-Ostküste wohl in Mitleidenschaft gezogen wurde – siehe auch den Link in folgendem Kommentar, wo einige zusätzliche Erläuterungen gegeben werden.