[English]Der Ransomware-Befall bei der US Colonial Pipeline ging vermutlich auf einen früheren Phishing-Angriff zurück, bei dem die Hacker VPN-Zugangsdaten für die IT-Systeme erbeuteten. Solche Zugangsdaten werden inzwischen für zahlreiche Firmen im Darknet gehandelt. Zudem ist es dem FBI gelungen, einen Teil des gezahlten Lösegelds zurück zu holen. Hier ein Überblick über diese neuen Entwicklungen.
Anzeige
Im Mai diesen Jahres gab es einen erfolgreichen Cyberangriff mit Ransomware auf den Betreiber einer US-Pipeline. Colonial Pipeline versorgt den Osten der USA mit Erdölprodukten und durch die Stillegung der Pipeline kam es zu Treibstoffmangel in den versorgten Gebieten. Ich hatte im Blog mehrfach berichtet (siehe Links am Artikelende). Aber wie kamen die Angreifer in das System?
VPN-Zugangsdaten per Darknet erbeutet
Newsweek berichtet hier, dass der erfolgreiche Ransomware-Angriff, der die Colonial Pipeline lahmlegte und zu Treibstoffengpässen an der Ostküste führte, über ein ungeschütztes Virtual Private Network (VPN) ermöglicht wurde. Die Cybergang DarkSide, die für den Hack verantwortlich ist, verschaffte sich über ein ungeschütztes VPN-Konto Zugang zum System der Pipeline. Der Zugang war eingerichtet worden, um Mitarbeitern den Fernzugriff auf die Computernetzwerke des Unternehmens zu ermöglichen. Das wurde durch ein Interview von Charles Carmakal, Senior Vice President bei der Sicherheitsfirma Mandiant, durch Bloomberg bekannt. Carmakal Er merkte an, dass das Konto nicht mehr von einem Mitarbeiter genutzt wurde, aber immer noch aktiv und für die Hacker zugänglich war.
Das Passwort für das betreffende, inzwischen aber deaktivierte, VPN-Konto, das die Hacker verwendet haben, wurde später im Dark Web in einer Sammlung erbeuteter Passwörter gefunden. Es könnte also sein, dass der Colonial-Mitarbeiter dasselbe Passwort für mehrere Konten verwendet hatte und schon einmal in einem anderen Szenario gehackt worden war, so Carmakal. Allerdings ist das nur eine Möglichkeit.
Ich bin kürzlich noch auf eine Diskussion gestoßen, dass im Darknet wohl ganze Bündel von mehreren Tausend VPN/RDP-Zugangsdaten gehandelt werden. Zugangsdaten sind demnach für ein paar Dollar zu haben.
Und Bleeping Computer berichtet hier über einen Angriff, der mit dem Penetrationstest-Tool Cobalt Strike versuchte, Computersysteme zu kompromittieren. Sicherheitsforscher der Cloud-basierten E-Mail-Sicherheitsplattform INKY analysierten den Angriff. Beim Angriff über gefälschte E-Mails nutzen die Cyberkriminellen den Colonial Pipeline-Angriff als Beispiel für die verheerenden Folgen, die ein Ransomware-Vorfall für ein Unternehmen haben kann.Sie fordern die Empfänger auf, ein System-Update über einen externen Link zu installieren, um das System in die Lage zu versetzen, "die neuesten Ransomware-Stämme zu erkennen und zu verhindern". Um die Dringlichkeit zu erhöhen, wird auch eine Frist für die Anwendung des Updates angegeben. Wer diesen Link anklickte, bekam Cobalt Strike heruntergeladen
FBI holt Colonial Pipeline-Lösegeld teilweise zurück
Die Überraschung des Tages hatte aber das amerikanische FBI in Petto. In einer Pressekonferenz, die vor wenigen Stunden stattfand, gab das FBI bekannt, dass man einen Großteil des von Colonial Pipeline gezahlten Lösegelds zurückgeholt habe (siehe auch nachfolgender Tweet).
Anzeige
Dem FBI war es wohl gelungen, in den Besitz des privaten Keys für die betreffende Wallet der Darkside-Gang zu gelangen. Von den 75 gezahlten Bitcoins konnte das FBI 63,7 Bitcoin zurück holen. Das entspricht aktuell noch ca. 2,26 Millionen US-Dollar (am 8. Mai waren es noch 3,7 Millionen US-Dollar). Unklar ist, wie das FBI an diesen privaten Schlüssel gelangt ist. Aber im Mai hatte die Darkside-Gang den Zugriff auf ihrer Server und die Crypto-Wallet verloren (siehe Exit: DarkSide-Gang hat den Zugang zu ihren Servern verloren).
Ähnliche Artikel:
Ransomware-Angriff auf US-Pipeline-Betreiber (Mai 2021)
Ransomware-Angriff auf die US-Pipeline – die Hütte brennt
Colonial Pipeline-Angriff: 5 Mio. $ für die Katz und ungepatchte Exchange-Server
Exit: DarkSide-Gang hat den Zugang zu ihren Servern verloren
Anzeige
Das FBI hatte auch die selbstentwickelte Crypto App "ANoM" in Umlauf gebracht, aber die verschlüsselte Kommunikation konnte das FBI jahrelang mithören.
Deswegen gab es heute weltweit hunderte Hausdurchsuchungen und Festnahmen.
"Veröffentlichte Gerichtsakten zeigen, wie das FBI die IT-Firma Anom übernahm und ihre verschlüsselte Messenger-App in ein trojanisches Pferd für das organisierte Verbrechen verwandelte. Nun gab es weltweit Hunderte Festnahmen."
*ttps://www.watson.ch/digital/international/309127460-massiver-schlag-gegen-unterwelt-so-tappten-kriminelle-in-die-fbi-falle
"Operation Ironside", "Operation Trojan Shield"
https://web.archive.org/web/20210608195703/https://www.tagesschau.de/inland/organierte-kriminalitaet-anom-101.html
"For years, the underworld thought its phones were safe. They fell for an encrypted app trap"
*ttps://edition.cnn.com/2021/06/08/australia/afp-fbi-anom-app-operation-ironside/index.html
"FBI lockte Kriminelle mit selbst entwickelten Kryptohandys in die Falle"
*ttps://www.welt.de/vermischtes/article231663605/Trojan-Shield-FBI-betrieb-bei-Kriminellen-beliebten-Messengerdienst.html
*ttps://www.dailymail.co.uk/news/article-9663125/Fake-encrypted-app-cooked-beers-Aussie-cops-FBI-leads-global-sting.html
ANoM wurde bereits im März als Falle geoutet, Analyse der IP-Adressen etc:
Die Kunden von Colonial wollen jetzt Schadenersatz:
Der Pipeline-Betreiber Colonial Pipeline hat die Folgen einer massiven Ransomware-Infektion inzwischen weitgehend behoben, da steht das nächste Problem ins Haus: Zahlreiche Kunden verklagen das Unternehmen nun auf Schadensersatz.
https://winfuture.de/news,124251.html