{"id":253420,"date":"2021-05-14T16:38:26","date_gmt":"2021-05-14T14:38:26","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=253420"},"modified":"2021-07-13T11:38:31","modified_gmt":"2021-07-13T09:38:31","slug":"colonial-pipeline-angriff-5-mio-fr-die-katz-und-ungepatchte-exchange-server","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/05\/14\/colonial-pipeline-angriff-5-mio-fr-die-katz-und-ungepatchte-exchange-server\/","title":{"rendered":"Colonial Pipeline-Angriff: 5 Mio. $ für die Katz und ungepatchte Exchange-Server"},"content":{"rendered":"

\"Sicherheit[English<\/a>]So langsam lichten sich die Nebel rund um den erfolgreichen Ransomware-Angriff auf den US-Versorger Colonial Pipeline. Inzwischen wurde bekannt, dass das Unternehmen wohl 5 Millionen US-Dollar L\u00f6segeld \"versenkt\" hat. Es gab zwar einen Entschl\u00fcsselungs-Keys, aber das Einspielen der Backups war schneller. Zudem hat ein Audit gravierende Sicherheitsm\u00e4ngel in der Firmen-IT offen gelegt. Ein Microsoft Exchange-Server wies z.B. Sicherheitsl\u00fccken auf. Hier eine Zusammenfassung der neuesten Ergebnisse dieses Falls.<\/p>\n

<\/p>\n

Ransomware-Angriff auf Colonial Pipeline<\/h2>\n

\"\"Ich hatte im Artikel Ransomware-Angriff auf US-Pipeline-Betreiber (Mai 2021)<\/a> vom erfolgreichen Angriff auf die gr\u00f6\u00dfte U.S.-Pipeline-Firma, die US-Ostk\u00fcste mit Treibstoff versorgt, berichtet. Vom Angriff war zwar nur dessen IT betroffen, aber aus Sicherheitsgr\u00fcnden wurde auch der Betrieb der Pipeline heruntergefahren. Die Folgen waren ein lokaler Notstand und steigende Mineral\u00f6l-Preise. In der Folge wurde der Notstand f\u00fcr die betroffenen Gebiete ausgerufen (siehe Ransomware-Angriff auf die US-Pipeline \u2013 die H\u00fctte brennt<\/a>). Inzwischen hat der Betreiber angek\u00fcndigt<\/a>, den Pipeline-Betrieb wieder aufzunehmen.<\/p>\n

5 Millionen US-$ f\u00fcr die Katz an die Erpresser gezahlt<\/h2>\n

\u00dcber US-Medien wurde die letzten Tage bekannt<\/a>, dass Colonial Pipeline wohl 5 Millionen US-Dollar an die Erpresser der Darkside-Gruppe gezahlt hat. Darauf hin gab es von den Erpressern zwar den Schl\u00fcssel und die Tools zum Entschl\u00fcsseln. Diese sollen aber so langsam beim Entschl\u00fcsseln gewesen sein, dass das Einspielen der vorhandenen Backups schneller von der Hand ging, wie heise in diesem Artikel<\/a> schreibt. Es kristallisiert sich auch heraus, dass die Abschaltung der Pipeline wohl nicht notwendig gewesen w\u00e4re und es geht die Vermutung um, dass die Abschaltung eher mit abrechnungstechnischen Belangen in Verbindung stehen k\u00f6nnte. Bei Golem wird vermutet<\/a>, dass die Zahlung erfolgte, um die Offenlegung der erbeuteten Dokumente zu verhindern.<\/p>\n

Exchange-Server nicht vollst\u00e4ndig gepatcht<\/h2>\n

Noch brisanter ist aber die Information, wie die Cyber-Angreifer in die IT-Netzwerke der Firma eindringen konnten. In diesem Tweet<\/a> berichtet Nicol Perlroth von der New York Times, dass die Firma einen \u00fcber Schwachstellen angreifbaren Exchange Server betreibe.<\/p>\n

<\/a><\/p>\n

Wobei aber Microsoft sowie die mit der Untersuchung beauftragte Firma FireEye noch nicht an Exchange als Einfallstor glauben. Interessant ist in diesem Zusammenhang die Aussage aus diesem Artikel<\/a>, dass die H\u00e4lfte der Sicherheitsvorf\u00e4llen bei Beh\u00f6rden-IT-Systemen auf fehlende Sicherheitsupdates zur\u00fcck gehen.<\/p>\n

Gravierende IT-Sicherheitsm\u00e4ngel beim Audit<\/h2>\n

Ein vor drei Jahren beim Betreiber durchgef\u00fchrtes Sicherheits-Audit hat \"grauenhafte\" Praktiken des Informationsmanagements und \"einen Flickenteppich schlecht verbundener und gesicherter Systeme\" offen gelegt. Das hat ein Insider Associated Press gesteckt, die die Details in diesem Artikel<\/a> aufbereitet haben. US-Pr\u00e4sident Joe Biden hat das die in letzter Zeit sich h\u00e4ufenden F\u00e4lle von Hacks (SolarWinds, Exchange-Hafnium-Angriff etc.) zum Anlass genommen, eine Pr\u00e4sidentschaftsanweisung<\/a> herauszugeben, die f\u00fcr eine verbesserte Cyber-Sicherheit in den USA sorgen soll (siehe diesen Artikel<\/a>).<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nRansomware-Angriff auf US-Pipeline-Betreiber (Mai 2021)<\/a>
\nRansomware-Angriff auf die US-Pipeline \u2013 die H\u00fctte brennt<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]So langsam lichten sich die Nebel rund um den erfolgreichen Ransomware-Angriff auf den US-Versorger Colonial Pipeline. Inzwischen wurde bekannt, dass das Unternehmen wohl 5 Millionen US-Dollar L\u00f6segeld \"versenkt\" hat. Es gab zwar einen Entschl\u00fcsselungs-Keys, aber das Einspielen der Backups war … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-253420","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/253420","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=253420"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/253420\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=253420"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=253420"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=253420"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}