Colonial Pipeline-Angriff: 5 Mio. $ für die Katz und ungepatchte Exchange-Server

Sicherheit (Pexels, allgemeine Nutzung)[English]So langsam lichten sich die Nebel rund um den erfolgreichen Ransomware-Angriff auf den US-Versorger Colonial Pipeline. Inzwischen wurde bekannt, dass das Unternehmen wohl 5 Millionen US-Dollar Lösegeld „versenkt“ hat. Es gab zwar einen Entschlüsselungs-Keys, aber das Einspielen der Backups war schneller. Zudem hat ein Audit gravierende Sicherheitsmängel in der Firmen-IT offen gelegt. Ein Microsoft Exchange-Server wies z.B. Sicherheitslücken auf. Hier eine Zusammenfassung der neuesten Ergebnisse dieses Falls.


Anzeige

Ransomware-Angriff auf Colonial Pipeline

Ich hatte im Artikel Ransomware-Angriff auf US-Pipeline-Betreiber (Mai 2021) vom erfolgreichen Angriff auf die größte U.S.-Pipeline-Firma, die US-Ostküste mit Treibstoff versorgt, berichtet. Vom Angriff war zwar nur dessen IT betroffen, aber aus Sicherheitsgründen wurde auch der Betrieb der Pipeline heruntergefahren. Die Folgen waren ein lokaler Notstand und steigende Mineralöl-Preise. In der Folge wurde der Notstand für die betroffenen Gebiete ausgerufen (siehe Ransomware-Angriff auf die US-Pipeline – die Hütte brennt). Inzwischen hat der Betreiber angekündigt, den Pipeline-Betrieb wieder aufzunehmen.

5 Millionen US-$ für die Katz an die Erpresser gezahlt

Über US-Medien wurde die letzten Tage bekannt, dass Colonial Pipeline wohl 5 Millionen US-Dollar an die Erpresser der Darkside-Gruppe gezahlt hat. Darauf hin gab es von den Erpressern zwar den Schlüssel und die Tools zum Entschlüsseln. Diese sollen aber so langsam beim Entschlüsseln gewesen sein, dass das Einspielen der vorhandenen Backups schneller von der Hand ging, wie heise in diesem Artikel schreibt. Es kristallisiert sich auch heraus, dass die Abschaltung der Pipeline wohl nicht notwendig gewesen wäre und es geht die Vermutung um, dass die Abschaltung eher mit abrechnungstechnischen Belangen in Verbindung stehen könnte. Bei Golem wird vermutet, dass die Zahlung erfolgte, um die Offenlegung der erbeuteten Dokumente zu verhindern.

Exchange-Server nicht vollständig gepatcht

Noch brisanter ist aber die Information, wie die Cyber-Angreifer in die IT-Netzwerke der Firma eindringen konnten. In diesem Tweet berichtet Nicol Perlroth von der New York Times, dass die Firma einen über Schwachstellen angreifbaren Exchange Server betreibe.

Wobei aber Microsoft sowie die mit der Untersuchung beauftragte Firma FireEye noch nicht an Exchange als Einfallstor glauben. Interessant ist in diesem Zusammenhang die Aussage aus diesem Artikel, dass die Hälfte der Sicherheitsvorfällen bei Behörden-IT-Systemen auf fehlende Sicherheitsupdates zurück gehen.

Gravierende IT-Sicherheitsmängel beim Audit

Ein vor drei Jahren beim Betreiber durchgeführtes Sicherheits-Audit hat „grauenhafte“ Praktiken des Informationsmanagements und „einen Flickenteppich schlecht verbundener und gesicherter Systeme“ offen gelegt. Das hat ein Insider Associated Press gesteckt, die die Details in diesem Artikel aufbereitet haben. US-Präsident Joe Biden hat das die in letzter Zeit sich häufenden Fälle von Hacks (SolarWinds, Exchange-Hafnium-Angriff etc.) zum Anlass genommen, eine Präsidentschaftsanweisung herauszugeben, die für eine verbesserte Cyber-Sicherheit in den USA sorgen soll (siehe diesen Artikel).

Ähnliche Artikel:
Ransomware-Angriff auf US-Pipeline-Betreiber (Mai 2021)
Ransomware-Angriff auf die US-Pipeline – die Hütte brennt


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Colonial Pipeline-Angriff: 5 Mio. $ für die Katz und ungepatchte Exchange-Server

  1. Alfred Neumann sagt:

    Langsam bin ich am überlegen, ob ich nicht doch auf „die Dunkle Seite der IT“ wechsele.
    Scheint man echt besser zu verdienen ;-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.