{"id":254452,"date":"2021-06-08T00:44:50","date_gmt":"2021-06-07T22:44:50","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=254452"},"modified":"2021-06-08T01:45:40","modified_gmt":"2021-06-07T23:45:40","slug":"neues-zu-colonial-pipeline-hack-durch-phishing-fbi-holt-lsegeld-teilweise-zurck","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/06\/08\/neues-zu-colonial-pipeline-hack-durch-phishing-fbi-holt-lsegeld-teilweise-zurck\/","title":{"rendered":"Neues zu Colonial Pipeline: Hack \u00fcber VPN-Zugang, FBI holt Lösegeld teilweise zurück"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Der Ransomware-Befall bei der US Colonial Pipeline ging vermutlich auf einen fr\u00fcheren Phishing-Angriff zur\u00fcck, bei dem die Hacker VPN-Zugangsdaten f\u00fcr die IT-Systeme erbeuteten. Solche Zugangsdaten werden inzwischen f\u00fcr zahlreiche Firmen im Darknet gehandelt. Zudem ist es dem FBI gelungen, einen Teil des gezahlten L\u00f6segelds zur\u00fcck zu holen. Hier ein \u00dcberblick \u00fcber diese neuen Entwicklungen.<\/p>\n

<\/p>\n

\"\"Im Mai diesen Jahres gab es einen erfolgreichen Cyberangriff mit Ransomware auf den Betreiber einer US-Pipeline. Colonial Pipeline versorgt den Osten der USA mit Erd\u00f6lprodukten und durch die Stillegung der Pipeline kam es zu Treibstoffmangel in den versorgten Gebieten. Ich hatte im Blog mehrfach berichtet (siehe Links am Artikelende). Aber wie kamen die Angreifer in das System?<\/p>\n

VPN-Zugangsdaten per Darknet erbeutet<\/h2>\n

Newsweek berichtet hier<\/a>, dass der erfolgreiche Ransomware-Angriff, der die Colonial Pipeline lahmlegte und zu Treibstoffengp\u00e4ssen an der Ostk\u00fcste f\u00fchrte, \u00fcber ein ungesch\u00fctztes Virtual Private Network (VPN) erm\u00f6glicht wurde. Die Cybergang DarkSide, die f\u00fcr den Hack verantwortlich ist, verschaffte sich \u00fcber ein ungesch\u00fctztes VPN-Konto Zugang zum System der Pipeline. Der Zugang war eingerichtet worden, um Mitarbeitern den Fernzugriff auf die Computernetzwerke des Unternehmens zu erm\u00f6glichen. Das wurde durch ein Interview von Charles Carmakal, Senior Vice President bei der Sicherheitsfirma Mandiant, durch Bloomberg bekannt. Carmakal Er merkte an, dass das Konto nicht mehr von einem Mitarbeiter genutzt wurde, aber immer noch aktiv und f\u00fcr die Hacker zug\u00e4nglich war.<\/p>\n

Das Passwort f\u00fcr das betreffende, inzwischen aber deaktivierte, VPN-Konto, das die Hacker verwendet haben, wurde sp\u00e4ter im Dark Web in einer Sammlung erbeuteter Passw\u00f6rter gefunden. Es k\u00f6nnte also sein, dass der Colonial-Mitarbeiter dasselbe Passwort f\u00fcr mehrere Konten verwendet hatte und schon einmal in einem anderen Szenario gehackt worden war, so Carmakal. Allerdings ist das nur eine M\u00f6glichkeit.<\/p>\n

Ich bin k\u00fcrzlich noch auf eine Diskussion gesto\u00dfen, dass im Darknet wohl ganze B\u00fcndel von mehreren Tausend VPN\/RDP-Zugangsdaten gehandelt werden. Zugangsdaten sind demnach f\u00fcr ein paar Dollar zu haben.<\/p>\n

Und Bleeping Computer berichtet hier<\/a> \u00fcber einen Angriff, der mit dem Penetrationstest-Tool Cobalt Strike versuchte, Computersysteme zu kompromittieren. Sicherheitsforscher der Cloud-basierten E-Mail-Sicherheitsplattform INKY analysierten den Angriff. Beim Angriff \u00fcber gef\u00e4lschte E-Mails nutzen die Cyberkriminellen den Colonial Pipeline-Angriff als Beispiel f\u00fcr die verheerenden Folgen, die ein Ransomware-Vorfall f\u00fcr ein Unternehmen haben kann.Sie fordern die Empf\u00e4nger auf, ein System-Update \u00fcber einen externen Link zu installieren, um das System in die Lage zu versetzen, \"die neuesten Ransomware-St\u00e4mme zu erkennen und zu verhindern\". Um die Dringlichkeit zu erh\u00f6hen, wird auch eine Frist f\u00fcr die Anwendung des Updates angegeben. Wer diesen Link anklickte, bekam Cobalt Strike heruntergeladen<\/p><\/blockquote>\n

FBI holt Colonial Pipeline-L\u00f6segeld teilweise zur\u00fcck<\/h2>\n

Die \u00dcberraschung des Tages hatte aber das amerikanische FBI in Petto. In einer Pressekonferenz, die vor wenigen Stunden stattfand, gab das FBI bekannt, dass man einen Gro\u00dfteil des von Colonial Pipeline gezahlten L\u00f6segelds zur\u00fcckgeholt habe (siehe auch nachfolgender Tweet<\/a>).<\/p>\n

<\/a><\/p>\n

Dem FBI war es wohl gelungen, in den Besitz des privaten Keys f\u00fcr die betreffende Wallet der Darkside-Gang zu gelangen. Von den 75 gezahlten Bitcoins konnte das FBI 63,7 Bitcoin zur\u00fcck holen. Das entspricht aktuell noch ca. 2,26 Millionen US-Dollar (am 8. Mai waren es noch 3,7 Millionen US-Dollar). Unklar ist, wie das FBI an diesen privaten Schl\u00fcssel gelangt ist. Aber im Mai hatte die Darkside-Gang den Zugriff auf ihrer Server und die Crypto-Wallet verloren (siehe Exit: DarkSide-Gang hat den Zugang zu ihren Servern verloren<\/a>).<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nRansomware-Angriff auf US-Pipeline-Betreiber (Mai 2021)<\/a>
\nRansomware-Angriff auf die US-Pipeline \u2013 die H\u00fctte brennt<\/a>
\nColonial Pipeline-Angriff: 5 Mio. $ f\u00fcr die Katz und ungepatchte Exchange-Server<\/a>
\nExit: DarkSide-Gang hat den Zugang zu ihren Servern verloren<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Der Ransomware-Befall bei der US Colonial Pipeline ging vermutlich auf einen fr\u00fcheren Phishing-Angriff zur\u00fcck, bei dem die Hacker VPN-Zugangsdaten f\u00fcr die IT-Systeme erbeuteten. Solche Zugangsdaten werden inzwischen f\u00fcr zahlreiche Firmen im Darknet gehandelt. Zudem ist es dem FBI gelungen, einen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-254452","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/254452","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=254452"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/254452\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=254452"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=254452"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=254452"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}