{"id":262231,"date":"2022-02-03T12:05:20","date_gmt":"2022-02-03T11:05:20","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=262231"},"modified":"2022-10-23T00:39:46","modified_gmt":"2022-10-22T22:39:46","slug":"cyberangriff-auf-oiltanking-black-cat-ransomware-legt-tankversorgung-lahm-auch-fr-colonial-pipeline-verantwortlich","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/02\/03\/cyberangriff-auf-oiltanking-black-cat-ransomware-legt-tankversorgung-lahm-auch-fr-colonial-pipeline-verantwortlich\/","title":{"rendered":"Cyberangriff auf Oiltanking: Black Cat-Ransomware legt Tankversorgung lahm, auch für Colonial Pipeline verantwortlich"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Noch ein Nachtrag zum Cyberangriff vom Samstag, den 29. Januar 2022 auf die zur Hamburger Firmengruppe Marquard & Bahls geh\u00f6rende Firma Oiltanking und die IT des zur gleichen Firmengruppe geh\u00f6renden Mineral\u00f6lh\u00e4ndlers Mabanaft. Die lahm gelegten Teile der kritischen Infrastruktur (KRITIS), denn die Ladesysteme von Oiltanking funktionieren nicht mehr, haben ihre Ursache in einer Infektion mit der Black Cat-Ransomware. Und da wird es interessant, denn es scheint sich um die gleichen Cyberkriminellen zu handeln, die auch f\u00fcr den Ransomware-Angriff auf Colonia Pipeline in den USA in 2021 verantwortlich waren.<\/p>\n

<\/p>\n

Ladesystem f\u00fcr Tankversorgung ausgefallen<\/h2>\n

\"\"Ich hatte es im Blog-Beitrag Cyberangriff auf Oiltanking legt Tanklager lahm, Shell auch betroffen<\/a> berichtet. Nachfolgender Tweet<\/a> weist auf den Beitrag hin.<\/p>\n

\"Cyberangriff<\/a><\/p>\n

Kurz zusammengefasst: Samstag, den 29. Januar 2022, kam es zu einem Cyberangriff auf die zur Hamburger Firmengruppe Marquard & Bahls geh\u00f6rende Firma Oiltanking und den zur gleichen Firmengruppe geh\u00f6renden Mineral\u00f6lh\u00e4ndler Mabanaft. In Folge sind 13 von Oiltanking betroffen Tanklager in Deutschland durch den Cyberangriff lahm gelegt, denn die Ladesysteme von Oiltanking funktionieren nicht mehr.<\/p>\n

Zu den Kunden geh\u00f6rt auch Shell mit seinem Tankstellensystem, so dass dort auch Beeintr\u00e4chtigungen zu erwarten sind.\u00a0 BSI-Chef, Arne Sch\u00f6nbohm, wies aber darauf hin, dass die Auswirkungen wohl begrenzt seien. Der Vorfall wird zwar als schwerwiegend, aber \"nicht gravierend\", eingestuft. Laut Sch\u00f6nbohm sind nur 1,7 % aller Tankstellen des Landes von dem Vorfall betroffen. So war es beispielsweise unm\u00f6glich, die Preise zu \u00e4ndern oder mit einer Kreditkarte zu bezahlen. An einigen der 233 betroffenen Tankstellen, die meisten davon in Norddeutschland, wurde Barzahlung akzeptiert.<\/p>\n

Parallelen zu Colonial Pipeline?<\/h2>\n

Ich hatte bereits im Artikel auf einen Ransomware-Angriff getippt, obwohl keine Details bekannt gegeben wurden. Und mir ging gleich der erfolgreiche Ransomware-Angriff auf den US-Pipeline-Betreiber Colonial Pipeline vom Mai 2021 durch den Kopf.<\/p>\n

Die gr\u00f6\u00dfte U.S.-Pipeline-Firma musste nach einem erfolgreichen Angriff mit Ransomware ihren Betrieb einstellen. Dabei wurde aus Vorsichtsgr\u00fcnden auch die Pipeline, die US-Ostk\u00fcste mit Treibstoff versorgt, abgeschaltet (siehe meine Blog-Beitr\u00e4ge Ransomware-Angriff auf US-Pipeline-Betreiber (Mai 2021)<\/a>). Im Blog-Beitrag Ransomware-Angriff auf die US-Pipeline \u2013 die H\u00fctte brennt<\/a> wies ich darauf hin, dass die US-Regierung den Notstand an der Ostk\u00fcste der USA ausgerufen hatten, weil die Versorgung der Tankstellen nicht mehr funktionierte. Ganz so schlimm ist es in obigem Fall bei Oiltanking nicht.<\/p>\n

Aber es gab ein Details, welches wieder relevant wird. Verantwortlich f\u00fcr den Angriff wurde die DarkSide-Cybergang gemacht, die ihre Dienste als \"as-a-service\" angeboten hatten. Nach der erfolgreichen Cyber-Attacke auf die US-Firma Colonial Pipeline k\u00fcndigte US Pr\u00e4sident Joe Biden an, dass die USA die Gesch\u00e4fter der DarkSide-Gang unterbinden werde. Kurze Zeit sp\u00e4ter verlor die Gruppe den Zugriff auf ihre Server (siehe Exit: DarkSide-Gang hat den Zugang zu ihren Servern verloren<\/a>) und stellte ihre Gesch\u00e4fte ein.<\/p>\n

Black Cat-Gruppe f\u00fcr Oiltanking verantwortlich<\/h2>\n

Brett Callow, Thread Analyst bei Emsisoft, hatte mich gestern Nacht per Mail kontaktiert und auf seinen nachfolgenden Tweet<\/a> hingewiesen, der mehr Licht ins Dunkel bringt.<\/p>\n

\"Black<\/a><\/p>\n

Dieser Tweet enth\u00e4lt zwei Informationen. Das Handelsblatt ist wohl an den internen Lagebericht des BSI gekommen (deren Artikel ist hinter einer Paywall, enth\u00e4lt aber wohl nicht all zu viele Details). Im BSI-Bericht wird offengelegt, dass die Black Cat Ransomware-Gruppe f\u00fcr den Angriff verantwortlich gemacht wird und die Staatsanwaltschaft eingeschaltet wurde. Die \"Systeme wurden durch die BlackCat-Ransomware \u00fcber einen bisher unbekannten Zugang kompromittiert\", zitiert ZDNet.com hier<\/a>. Eine Sprecherin von Oiltanking wollte das nicht kommentieren.<\/p>\n

Was \"unbekannter Zugang\" bedeutet, bleibt aber im Dunkeln – zwischen den Zeilen lese ich \"die wissen es noch nicht\". Beim Colonia Pipeline-Hack war ein VPN-Zugang das Einfallstor, siehe Neues zu Colonial Pipeline: Hack \u00fcber VPN-Zugang, FBI holt L\u00f6segeld teilweise zur\u00fcck<\/a>.<\/p><\/blockquote>\n

Interessant wird jetzt aber der obige Tweet von Brett Callow, der bereits am 31. Januar 2022 darauf hinwies, dass die Beteiligten der Darkside Ransomware-Gruppe sich nach der Stillegung der Infrastruktur als BlackCat\/ALPHV neu firmiert h\u00e4tten. Oder einer der Affiliates, die die Leistungen von Darkside in Anspruch genommen hat, ist unter diesem Namen in die Fu\u00dfstapfen getreten. Und damit schlie\u00dft sich der Kreis, denn die DarkSide-Cybergang wird ja f\u00fcr den Angriff auf die US Colonial Pipeline verantwortlich gemacht.<\/p>\n

Palo Alto liefert Informationen<\/h2>\n

Palo Alto Networks hat einen aktuellen \u00dcberblick \u00fcber die BlackCat Ransomware-Familie ver\u00f6ffentlicht. Erst Mitte November 2021 aufgetaucht, hat die Gruppe bereits im Dezember 2021die siebtgr\u00f6\u00dfte Anzahl an Opfern unter den von Palo Alto Networks beobachteten Ransomware-Gruppen \u2013 und die Liste w\u00e4chst weiter.<\/p>\n

\"Ransomware<\/p>\n

Die Opfer stammen aus verschiedenen Branchen wie dem Baugewerbe, dem Versicherungswesen, der Logistik und anderen Bereichen, was den Einfluss der Gruppe noch weiter verst\u00e4rkt. BlackCat-Angreifer fordern L\u00f6segelder in H\u00f6he von bis zu 14 Millionen US-Dollar \u2013 und damit fast das Dreifache der durchschnittlichen L\u00f6segeldforderung<\/a> von 5,3 Millionen US-Dollar Anfang 2021.<\/p>\n

Das Auftauchen von BlackCat ist Teil des besorgniserregenden Trends, dass die Aktivit\u00e4ten neuer und neu aufgestellter Gruppen in kurzer Zeit verheerende Auswirkungen haben k\u00f6nnen. Der Erfolg der Gruppe wird zum Teil auf die Anpassungsf\u00e4higkeit ihrer Angriffe und die effizienten Algorithmen zur\u00fcckgef\u00fchrt, die die Verschl\u00fcsselung erm\u00f6glichen. Weitere Einzelheiten finden Sie in diesem Beitrag<\/a>.<\/p>\n

Informationen von Varonis<\/h2>\n

Vom Sicherheitsanbieter Varonis habe ich ebenfalls eine Mitteilung, dass deren Thread Labs seit Ende 2021 verst\u00e4rkte Aktivit\u00e4ten der Ransomware-Gruppe ALPHV (auch bekannt als BlackCat) beobachten. Die Gruppe fungiert als Ransomware-as-a-Service-Anbieter (RaaS), und rekrutiert aktiv neue Partner. Dazu z\u00e4hlen insbesondere auch (ehemalige) Mitglieder anderer Banden wie REvil, BlackMatter und DarkSide.<\/p>\n

Auch dort wird ausgef\u00fchrt, dass der Angriff auf den Tankstellen-Zulieferer Oiltanking, durch den unter anderem Shell betroffen war, auf BlackCat zur\u00fcck geht. Zu den weiteren Zielen geh\u00f6ren gr\u00f6\u00dfere Unternehmen aus den unterschiedlichsten Branchen wie Unternehmensdienstleistungen, Bauwesen, Energie, Mode, Finanzen, Logistik, Fertigung, Pharmazie, Einzelhandel und Technologie. Die Opfer stammen insbesondere aus Australien, Frankreich, Deutschland, Italien,\u00a0 Niederlande, Spanien, Gro\u00dfbritannien und den USA. Die Forderungen reichen dabei von 400.000 bis zu 3 Millionen US-Dollar.<\/p>\n

ALPHV seit November 2021 aktiv<\/h3>\n

ALPHV wurde erstmals im November 2021 beobachtet und bietet Ransomware als Dienstleistung an. Dabei wird die \u00fcbliche Taktik der Double Extortion, bei der sensible Daten vor der Verschl\u00fcsselung entwendet und den Opfern mit einer Ver\u00f6ffentlichung gedroht wird, durch eine weitere Eskalationsstufe erweitert (Triple Extortion): Dabei drohen die Cyberkriminellen zudem auch einen DDoS (Distributed Denial of Service)-Angriff an. Dies deutet auf eine gewisse Erfahrung in dem Gebiet hin, weshalb es sich bei ALPHV wohl eher um eine Neugruppierung bekannter Angreifer als um Neulinge in diesem \u201eGesch\u00e4ftsfeld\" handelt. Darauf weisen auch Beitr\u00e4ge in Cybercrime-Foren hin, in denen davon ausgegangen wird, dass ALPHV m\u00f6glicherweise eine Weiterentwicklung oder ein Rebranding von BlackMatter ist, welches seinerseits ein \u201eSpin-off\" oder Nachfolger von REvil und DarkSide ist. Bemerkenswert ist zudem die sehr hohe Auszahlungsrate f\u00fcr die Affiliates von bis zu 90 Prozent des eingenommenen L\u00f6segelds, mit der sehr aktiv neue Partner in einschl\u00e4gigen Communities rekrutiert und gefunden werden.<\/p>\n

Eindringen in Opfernetzwerke<\/h3>\n

Bei der Arbeit mit diesen neuen Partnern erfolgt das erste Eindringen in das Opfernetzwerk in der Regel mit bew\u00e4hrten Techniken, wie beispielsweise der Ausnutzung allgemeiner Schwachstellen in Netzwerkinfrastrukturger\u00e4ten wie VPN-Gateways und der Missbrauch von Anmeldeinformationen \u00fcber ungesch\u00fctzte RDP-Hosts (Remote Desktop Protocol). Daran anschlie\u00dfend verwenden ALPHV-Angreifer h\u00e4ufig PowerShell, um die Sicherheitseinstellungen von Windows Defender im gesamten Netzwerk des Opfers zu \u00e4ndern und die Ransomware mithilfe von PsExec auf mehreren Hosts zu starten.<\/p>\n

Sobald der Zugang auf die Opfersysteme erfolgt ist, startet die Aufkl\u00e4rungsphase, bei der sensible und wertvolle Daten zur Exfiltration und sp\u00e4teren Verschl\u00fcsselung identifiziert werden, sowie eine laterale Bewegung im Netzwerk. Die Ransomware wird dabei f\u00fcr jedes Opfer neu erstellt und umfasst beispielsweise die Art der Verschl\u00fcsselung (etwa, dass nur Teile gro\u00dfer Dateien verschl\u00fcsselt werden) sowie eingebettete Anmeldeinformationen des Opfers, um die automatische Verbreitung der Ransomware auf andere Server zu erm\u00f6glichen.<\/p>\n

Im Gegensatz zu vielen anderen Ransomware-Programmen wurde ALPHV in Rust entwickelt. Diese Programmiersprache zeichnet sich durch eine hohe Performance und plattform\u00fcbergreifende Funktionen aus. Entsprechend wurden bereits sowohl Linux- als auch Windows-Varianten identifiziert.<\/p>\n

Weitere Informationen zu ALPHV (BlackCat) wie detaillierte Angaben zu Konfigurationen, Abl\u00e4ufen sowie Indikatoren einer Kompromittierung finden sich im entsprechenden Blog-Beitrag<\/a> von Varonis.<\/p>\n

Marquard & Bahls, Oiltanking, Mabnaft<\/h2>\n

Marquard & Bahls ist ein in Hamburg ans\u00e4ssiges Unternehmen, das in den Bereichen Energie und Chemie t\u00e4tig ist. Zu den zentralen Gesch\u00e4ftsfeldern geh\u00f6ren Tanklagerlogistik, Handel und Flugzeugbetankung.<\/p>\n

Mabanaft<\/i> ist die Handelsorganisation von Marquard & Bahls. Das Gesch\u00e4ft umfasst den regionalen Handel sowie den Gro\u00dfhandel mit Mineral\u00f6lprodukten. Dar\u00fcber hinaus bet\u00e4tigt sich die Gesellschaft in den Bereichen Bunkerservice, Tankstellen- und Heiz\u00f6l-Endverbrauchergesch\u00e4ft sowie dem Handel mit Fl\u00fcssiggas, Biokraft- und Biobrennstoffen. Das j\u00e4hrliche Absatzvolumen betr\u00e4gt circa 18,1 Mio. Tonnen (Stand: Dezember 2020).<\/p>\n

Oiltanking<\/a> ist einer der gr\u00f6\u00dften unabh\u00e4ngigen Anbieter von Tanklagern f\u00fcr Mineral\u00f6lprodukte, Chemikalien und Gase weltweit. Das Unternehmen besitzt und betreibt 64 Tankl\u00e4ger in 24 L\u00e4ndern mit einer Gesamtkapazit\u00e4t von 20 Millionen Kubikmetern (Stand: Dezember 2020). 2019 lag der Gesamtdurchsatz bei rund 155 Millionen Tonnen.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nRansomware-Angriff auf US-Pipeline-Betreiber (Mai 2021)<\/a>
\nRansomware-Angriff auf die US-Pipeline \u2013 die H\u00fctte brennt<\/a>
\nColonial Pipeline-Angriff: 5 Mio. $ f\u00fcr die Katz und ungepatchte Exchange-Server<\/a>
\nExit: DarkSide-Gang hat den Zugang zu ihren Servern verloren<\/a>
\nColonial Pipeline-Angriff: 5 Mio. $ f\u00fcr die Katz und ungepatchte Exchange-Server<\/a>
\nNeues zu Colonial Pipeline: Hack \u00fcber VPN-Zugang, FBI holt L\u00f6segeld teilweise zur\u00fcck<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Noch ein Nachtrag zum Cyberangriff vom Samstag, den 29. Januar 2022 auf die zur Hamburger Firmengruppe Marquard & Bahls geh\u00f6rende Firma Oiltanking und die IT des zur gleichen Firmengruppe geh\u00f6renden Mineral\u00f6lh\u00e4ndlers Mabanaft. Die lahm gelegten Teile der kritischen Infrastruktur (KRITIS), … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4715,4328],"class_list":["post-262231","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/262231","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=262231"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/262231\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=262231"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=262231"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=262231"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}