{"id":253017,"date":"2021-05-11T19:18:59","date_gmt":"2021-05-11T17:18:59","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=253017"},"modified":"2021-05-12T07:32:06","modified_gmt":"2021-05-12T05:32:06","slug":"ransomware-angriff-auf-die-us-pipeline-die-htte-brennt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/05\/11\/ransomware-angriff-auf-die-us-pipeline-die-htte-brennt\/","title":{"rendered":"Ransomware-Angriff auf die US-Pipeline – die Hütte brennt"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Vorige Woche gab es ja einen Ransomware-Angriff auf den Betreiber einer Pipeline an der US-Ostk\u00fcste, in dessen Folge die Pipeline still gelegt werden musste. Nun brennt, bildlich gesprochen, \u00fcberall die H\u00fctte. Der US-Pr\u00e4sident hat den lokalen Notstand ausgerufen. Und die Folgen wirbeln so viel Staub auf, dass die DarkSide-Gang au\u00dfergew\u00f6hnliche Schritte angek\u00fcndigt hat. Zudem ist gerade bekannt geworden, dass der Versicherungskonzern AXA keine Ransomware-L\u00f6segeld-Zahlungen mehr erstattet.<\/p>\n

<\/p>\n

Notstand nach Ransomware-Angriff auf US-Pipeline<\/h2>\n

\"\"Donnerstag, den 6. Mai 2021, gab es einen erfolgreichen Ransomware-Angriff der DarkSide-Gruppe auf den gr\u00f6\u00dften U.S.-Pipeline-Betreiber \"\"Colonial Pipeline. Der Angriff beeintr\u00e4chtige zwar die eigentlichen Steuerungssysteme f\u00fcr die Pipeline nicht. Aber in Folge dieses Angriffs musste der Betreiber den Betrieb der Pipeline einstellen. Ich hatte einige Informationen im Blog-Beitrag Ransomware-Angriff auf US-Pipeline-Betreiber (Mai 2021)<\/a> zusammen getragen.<\/p>\n

Da diese Pipeline 45 % der an der US-Ostk\u00fcste ben\u00f6tigten Treibstoffmenge versorgt, waren Probleme bei einem l\u00e4nger andauernden Stopp des Pipeline-Betriebs absehbar. Inzwischen hat die Federal Motor Carrier Safety Administration (FMCSA) eine regionale Notstandserkl\u00e4rung abgegeben, die 17 Bundesstaaten und den District of Columbia betrifft. Die Erkl\u00e4rung zielt darauf ab, Gebiete zu unterst\u00fctzen, die eine sofortige Versorgung mit Benzin, Diesel, Flugzeugtreibstoff und anderen raffinierten Erd\u00f6lprodukten ben\u00f6tigen. Die Kollegen bei Bleeping Computer haben einige Informationen<\/a> dazu zusammen getragen, ein deutschsprachiger Beitrag findet sich auf MSN<\/a>.<\/p>\n

Die Ransomware-Gruppe hatte zudem Daten vor dem Verschl\u00fcsseln abgezogen und plante den Betreiber mit deren Ver\u00f6ffentlichung zu erpressen. Das Ganze hat aber nach meinem Gef\u00fchl die Dimension von \"rauchen in einem offenen Treibstofftank\" angenommen und d\u00fcrfte der DarkSide-Ransomware-Gang um die Ohren fliegen. Denn auf Grund des Ausfalls der Pipline steigen in den Regionen an der Ostk\u00fcste die Preise f\u00fcr Treibstoffe. Da verstehen die Amerikaner keinen Spa\u00df und die Folgesch\u00e4den gehen auch hoch.<\/p>\n

\"Ransomware<\/a><\/p>\n

Die US Geheimdienste und Strafverfolger werden also alles daran setzen, die Mitglieder der Darkside-Gang zu ermitteln und dingfest zu machen. Interessant ist in diesem Zusammenhang der obige Tweet<\/a>, dass sich die US-Administration bereits fr\u00fchzeitig festlegt, dass es keine Hinweise auf eine Beteiligung der russischen Geheimdienste g\u00e4be. Es sind wohl schlicht Kriminelle, die von russischem Hoheitsgebiet operieren und so ist der Hinweis in obigem Tweet zu interpretieren, dass Russland eine gewisse Verantwortung hat, mit diesem Fall umzugehen. Da brennt also auch in dieser Richtung, bildlich gesprochen, die H\u00fctte.<\/p>\n

Eigentlich vergeht kein Tag, an dem nicht irgendwo eine Ransomware-Infektion zu berichten ist. Neuester Fall ist die Ransomware-Infektion der US-Stadt Tulsa in Oklahoma, wie hier berichtet<\/a> wird.<\/p><\/blockquote>\n

Darkside-Gang will Ziele besser aussuchen<\/h2>\n

Bei DarkSide handelt es sich um eine organisierte Gruppe von Hackern, die nach dem Gesch\u00e4ftsmodell \"Ransomware as a Service\" arbeitet. Sie entwickeln Ransomware und verkaufen ihre Leistung und Infrastruktur an andere Kriminelle. Diese f\u00fchren dann die Angriffe gegen Erfolgsbeteiligung durch. Der Angriff auf die US-Pipeline hat nun aber so viel Staub aufgewirbelt, dass die Gruppe eine Art Verlautbarung auf ihrer Webseite publiziert hat die CNBC in diesem Artikel<\/a> aufgegriffen hat.<\/p>\n

In der Erkl\u00e4rung gibt die DarkSide-Gruppe an, dass man nicht politisch agiere, sondern lediglich Geld mit der Ransomware machen will, ohne jedoch Probleme f\u00fcr die Gesellschaft zu verursachen. \"Wir sind unpolitisch, wir beteiligen uns nicht an der Geopolitik, brauchen uns nicht mit einer bestimmten Regierung zu verbinden und nach unseren Motiven zu suchen\", hie\u00df es in der Erkl\u00e4rung. \"Unser Ziel ist es, Geld zu verdienen, und nicht, Probleme f\u00fcr die Gesellschaft zu schaffen. Ab heute f\u00fchren wir eine Moderation ein und pr\u00fcfen jedes Unternehmen, das unsere Partner verschl\u00fcsseln wollen, um soziale Konsequenzen in der Zukunft zu vermeiden.\"<\/p>\n

Der Sicherheitsanbieter Cybereason, der die Verlautbarung gegen\u00fcber CNBC \u00f6ffentlich gemacht hat, berichtet, dass DarkSide ein perverses Verlangen habe, ethisch zu erscheinen. Die Gang hat sogar einen eigenen Verhaltenskodex f\u00fcr seine Kunden ver\u00f6ffentlicht, der ihnen vorgibt, wer und welche Ziele angreifbar sind. Zu den gesch\u00fctzten Organisationen, die nicht angegriffen werden d\u00fcrfen, geh\u00f6ren Krankenh\u00e4user, Hospize, Schulen, Universit\u00e4ten, gemeinn\u00fctzige Organisationen und Regierungsbeh\u00f6rden. Ebenfalls gesch\u00fctzt sind anscheinend Organisationen mit Sitz in ehemaligen Sowjetl\u00e4ndern. Freiwild sind also alle gewinnorientierten Unternehmen in englischsprachigen L\u00e4ndern.<\/p>\n

DarkSide behauptet auch, dass es einen Teil seiner Gewinne an Wohlt\u00e4tigkeitsorganisationen spenden wird, obwohl einige der Wohlt\u00e4tigkeitsorganisationen die Beitr\u00e4ge abgelehnt haben. Dazu hei\u00dft es: \"Egal, wie schlecht Sie unsere Arbeit finden, wir freuen uns zu wissen, dass wir geholfen haben, das Leben von jemandem zu ver\u00e4ndern. Heute haben wir die ersten Spenden verschickt [sic].\" Laut Cybereason arbeitet die Ransomware-Gruppe hochprofessionell und sehr arbeitsteilig. Es gibt einen Helpdesk und eine Call-in-Telefonnummer f\u00fcr Opfer.<\/p>\n

Die Gruppe hat bereits vertrauliche Daten von mehr als 40 Opfern ver\u00f6ffentlicht. Dazu unterh\u00e4lt die Gruppe eine Website namens \"DarkSide Leaks\", die WikiLeaks nachempfunden ist und auf der die Hacker erbeutete private Daten von Unternehmen ver\u00f6ffentlichen. Ziel ist es, den Druck auf die Opfer zu erh\u00f6hen, damit diese doch noch ein L\u00f6segeld zahlen.<\/p>\n

Die L\u00f6segeldforderungen reichen typischerweise von 200.000 bis 20 Millionen Dollar. Die Hacker sammeln detaillierte Informationen \u00fcber ihre Opfer und kalkulieren dann auf Grund der Unternehmensgr\u00f6\u00dfe und der Ums\u00e4tze die L\u00f6segeldsummen. Allerdings gehe ich davon aus, dass jetzt der Ermittlungsdruck auf die Gruppe stark anw\u00e4chst. In den letzten Jahren ist es Strafverfolgern immer wieder gelungen, Hacker zu ermitteln und dingfest zu machen. Auch die Verfolgung der Zahlungsstr\u00f6me von Krypto-Geld ist zwar schwierig, scheint aber nicht unm\u00f6glich zu sein.<\/p>\n

The Hacker News berichtet hier<\/a>, dass 25 % der Tor-Exit-Knoten in Bezug auf Darknet-Aktivit\u00e4ten \u00fcberwacht wurden. Einem unbekannten Akteur gelang es Anfang Februar 2021, mehr als 27 % der gesamten Ausgangskapazit\u00e4t des Tor-Netzwerks zu kontrollieren. Das ergab eine neue Studie \u00fcber die Dark-Web-Infrastruktur.<\/p>\n

AXA stoppt Erstattung von L\u00f6segeldern<\/h2>\n

Bisher war es so, dass Cyberversicherungen f\u00fcr die gezahlten Ransomware-Summen aufkamen. In den USA versucht man daher den Geldstrom zu unterbrechen, indem die Zahlung von L\u00f6segeld genehmigungspflichtig ist (siehe Empfehlungen des US-Finanzministeriums zu Ransomware-Forderungen<\/a>). Diesem Beitrag<\/a> entnehme ich, dass einer der gr\u00f6\u00dften Versicherer Europas, die AXA, die Erstattung von L\u00f6segeldzahlungen f\u00fcr franz\u00f6sische Ransomware-Opfer einstellt. Die betreffenden Policen, die Opfern von Ransomware Zahlungen erstatten sollen, werden dazu ausgesetzt. Eine offizielle Best\u00e4tigung der AXA gibt es noch nicht – aber ich denke, der Trend wird in diese Richtung gehen. Wird noch spannend werden, die Entwicklung in dieser Richtung zu verfolgen.<\/p>\n

Artikelreihe
\n<\/strong>Deutsche Unternehmen h\u00e4ufig Opfer von Ransomware<\/a> \u2013 Teil 1
\nDeutsche Unternehmen zahlen \u00f6fters bei Ransomware<\/a> \u2013 Teil 2
\nEmpfehlungen des US-Finanzministeriums zu Ransomware-Forderungen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Vorige Woche gab es ja einen Ransomware-Angriff auf den Betreiber einer Pipeline an der US-Ostk\u00fcste, in dessen Folge die Pipeline still gelegt werden musste. Nun brennt, bildlich gesprochen, \u00fcberall die H\u00fctte. Der US-Pr\u00e4sident hat den lokalen Notstand ausgerufen. Und die … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-253017","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/253017","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=253017"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/253017\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=253017"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=253017"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=253017"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}