Aktuelles, Branche - geschrieben von dp am Montag, Mai 10, 2021 12:12 - noch keine Kommentare
Colonial Pipeline: Massiver Ransomware-Angriff auf Betreiber
Tenable kommentiert Folgen für die Betriebstechnik durch IT-Ausfall nach Ransomware-Befall
[datensicherheit.de, 10.05.2021] In den letzten Tagen vermeldeten internationale Medien einen Cyber-Angriff (demnach eine Ransomware-Attacke mit einer „Beute“ von rund 100 Gigabyte) auf den größten Pipeline-Betreiber in den USA, Colonial Pipeline, der dessen Betrieb lahmlegt habe. Es sollte laut Tenable beachtet werden, dass diese spezielle Sicherheitslücke sowie mehrere andere, inzwischen gepatchten nur hätten ausgenutzt werden können, wenn die „vManage“-Software im Cluster-Modus laufe. Wenn ein Unternehmen „vManage“ verwendet, wird daher dringend empfohlen, diese Patches so schnell wie möglich zu installieren.
Ransomware beliebter Angriffsvektor für Cyber-Kriminelle
Marty Edwards, „VP of OT Security“ bei Tenable und dienstältester Director des ICS-CERT erläutert: „Cyber-Angriffe sind eine reale und gegenwärtige Gefahr für Kritische Infrastrukturen auf der ganzen Welt und damit auch für jeden einzelnen Verbraucher. Wenn die Berichte zutreffen, weist der Vorfall bei Colonial Pipeline alle Merkmale eines umfassenden Ransomware-Angriffs auf, der in der IT-Umgebung begann und den Betreiber vorsichtshalber zum Herunterfahren des Betriebs zwang.“
Ransomware sei aufgrund ihrer Effektivität und ihres Return-on-Investment ein beliebter Angriffsvektor für Cyber-Kriminelle. „Das ist genau der Grund, warum Kriminelle in letzter Zeit immer wieder Kritische Infrastrukturen ins Visier genommen haben. Das Herunterfahren von OT-Umgebungen (Operational Technology) kann Hunderte von Millionen Dollar kosten, was die Anbieter dazu zwingt, die Kosten aufzuwiegen“ so Edwards.
Verlauf der Ransomware-Attacke noch unklart
Edwards betont: „Wir sollten diese Gruppen nicht unterschätzen. Viele von ihnen verfügen mittlerweile über Helpdesks, technischen Support, Lohnabrechnungen und Subunternehmer. Sie sind im Wesentlichen vollwertige kriminelle Unternehmen, die in der digitalen Welt operieren.“ Auch wenn nicht bekannt sei, wie sich dieser Angriff abgespielt hat, „so ist er doch eine weitere Erinnerung an die zunehmend ins Visier genommenen Kritischen Infrastrukturen, auf die wir uns alle verlassen“.
Zudem habe Cisco Mitte der 18. Kalenderwoche 2021 mehrere Sicherheitslücken in seiner SD-WAN-Software „vManage“ geschlossen. Eine davon ermögliche es Angreifern, Aktionen auszuführen, „die durchschnittlichen Benutzern nicht gewährt werden, wie z.B. das Erstellen von Konten mit Zugriff auf die Administrationsebene.“
Reaktion auf Ransamware-Angriff: Cisco hat mehrere Sicherheitslücken gepatcht

Satnam Narang, Staff Research Engineer beim IT-Sicherheitsanbieter Tenable, Foto: Tenable
Satnam Narang warnt: Angreifer muss nicht im Besitz gültiger Zugangsdaten sein, um sich bei der verwundbaren Anwendung zu authentifizieren
„Cisco hat am Mittwoch mehrere Sicherheitslücken gepatcht, darunter einige Schwachstellen in seiner SD-WAN-Software ,vManage‘. Am schwerwiegendsten ist ,CVE-2021-1468‘, eine Schwachstelle innerhalb der Verarbeitung nicht autorisierter Nachrichten“, kommentiert Satnam Narang, „Staff Research Engineer“ bei Tenable.
Die Schwachstelle besteht laut Narang deshalb, weil die „vManage“-Software keine Authentifizierungsprüfung für Eingaben durchführe, welche der Benutzer an den Messaging-Dienst der Anwendung übermittelt. Diese Schwachstelle könnte vor der Authentifizierung ausgenutzt werden, d.h. der Angreifer müsste nicht im Besitz gültiger Zugangsdaten sein und sich bei der verwundbaren Anwendung authentifizieren.
Weitere Informationen zum Thema:
datensicherheit.de, 12.05.2021
Lehren aus dem Ransomware-Angriff auf Colonial Pipeline für Kritis-Betreiber / Edgard Capdevielle erläutert in seiner Stellungnahme, wie sich Kritis-Betreiber absichern können
datensicherheit.de, 12.05.2021
DarkSide: RaaS-Attacke gegen Colonial Pipeline / Junge Ransomware-Familie DarkSide erstmals im August 2020 aufgetreten
datensicherheit.de, 12.05.2021
Ransomware-Angriff auf Colonial Pipeline nur Teil einer neuen Welle / Betreiber einer der größten Treibstoff-Pipelines der USA musste Betrieb nach Attacke mit DarkSide-Ransomware vorübergehend einstellen
datensicherheit.de, 11.05.2021
Ransomware-Angriff: Kraftstoffversorgung über Colonial Pipeline unterbrochen / FBI bestätigt Attacke auf Colonial Pipeline durch Hacker-Gruppe DarkSide
datensicherheit.de, 18.03.2021
Warum Ransomware noch immer so erfolgreich ist
Bloomberg, Cybersecurity, Jordan Robertson & William Turton, 09.05.2021
Colonial Hackers Stole Data Thursday Ahead of Shutdown
threatpost, Tara Seals, 06.05.2021
Critical Cisco SD-WAN, HyperFlex Bugs Threaten Corporate Networks
CISCO, 05.05.2021
Cisco Security Advisory / Cisco SD-WAN vManage Software Vulnerabilities
CISA CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY
Industrial Control Systems / Advisories and Reports
Aktuelles, Branche, Gastbeiträge - Feb. 11, 2025 10:09 - noch keine Kommentare
OT-Sicherheit: Klassischer AirGap-Ansatz ist Illusion
weitere Beiträge in Experten
- Cyber-Nation: TeleTrusT veröffentlicht Forderungskatalog zur Umsetzung des Konzeptes
- Vorankündigung des IT-Sicherheitscluster e.V.: 4. Regenburger Cybersecurity-Kongress am 28. April 2025
- BfDI und DPC: Engerer Austausch zu Plattformen und Künstlicher Intelligenz vereinbart
- Öffentliche Sicherheit contra Privatsphäre: Biometrische KI-Gesichtserkennung in der Diskussion im Vorfeld der Bundestagswahl 2025
- Mahnung der Freien Ärzteschaft im ePA-Kontext: Krankheitsdaten sind keine Ware
Aktuelles, Branche, Gastbeiträge - Feb. 11, 2025 10:09 - noch keine Kommentare
OT-Sicherheit: Klassischer AirGap-Ansatz ist Illusion
weitere Beiträge in Branche
- KRITIS immer öfter im Visier Cyber-Krimineller
- Fake-Romance: Scams mit KI-gestützten Deepfake-Promis fordern Opfer
- Unermesslicher Datenhunger nicht zu ignorieren: Forderungen der Wirtschaft, Staaten und KI zunehmend intensiver
- NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert
- Industrie sollte Cyber-Sicherheit ihrer Geräte, Maschinen und Anlagen dringend auf ihre Agenda 2025 setzen!
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren