Ransomware-Angriff auf Colonial Pipeline nur Teil einer neuen Welle

Betreiber einer der größten Treibstoff-Pipelines der USA musste Betrieb nach Attacke mit DarkSide-Ransomware vorübergehend einstellen

[datensicherheit.de, 12.05.2021] Ransomware habe sich im Laufe der Zeit immer wieder verändert – wie sehr, zeige der Ransomware-Angriff auf Colonial Pipeline, der nur Teil einer neuen Welle von Attacken gegen hochrangige Opfer sei. Nach diesem Cyber-Angriff auf eine der größten Treibstoff-Pipelines der USA sei deren Betrieb vorübergehend eingestellt worden. Die böswilligen Akteure seien auf möglichst hohe Erpressungssummen aus und zielten daher auf Organisationen, „die eher bereit sind zu zahlen, wenn sie deren Geschäftsbetrieb stören“. Dies habe sich bereits früher bei Opfern aus dem Regierungs- und Bildungsbereich beobachten lassen – je mehr Leid die Kriminellen einer Organisation zufügen können, „desto wahrscheinlicher ist es, dass das Opfer zahlt“. Jon Clay, „Director Global Threat Communications“ bei Trend Micro, geht in seinem Kommentar auf die Frage ein, was Unternehmen angesichts der Bedrohung tun tun können.

Entwicklung der Ransomware-Angriffe hat Phase 4 erreicht

„Ransomware-Angriffe haben viele Stationen durchlaufen und wir beobachten jetzt Phase 4“, erläutert Clay:

1. Phase: Einfache Ransomware
   Dateien würden verschlüsselt, dann die Lösegeldforderung abgegeben und schließlich auf die Zahlung in Bitcoin gewartet.
2. Phase: Doppelte Erpressung
   Phase 1 zzgl. Datenexfiltrierung und Drohung mit der Veröffentlichung. „Maze“ sei die erste Erpressungssoftware dieser Art gewesen und die anderen Hacker-Gruppen folgten diesem Beispiel.
3. Phase: Dreifache Erpressung.
   Phase 1 und Phase 2 sowie Drohung mit DDoS. „Avaddon“ sei der erste dokumentierte Fall geweseb.
4. Phase: Vierfache Erpressung
   Phase 1 und möglicherweise Phase 2 oder Phase 3 sowie direktes Mailing an den Kundenstamm des Opfers. „Cl0p“ sei zum ersten Mal auf diese Weise eingesetzt worden, so Brian Krebs in seinem Blog „KrebsonSecurity“ am 5. April 2021.

Doppelte Erpressung mittels neuester Ransomware-Angriffe

Meistens handele es sich heute um Doppelte Erpressung, so Clay, „doch sehen wir einen Wechsel hin zum Anvisieren von kritischen Geschäftssystemen“. In diesem jüngsten US-Fall scheinen keine OT-Systeme betroffen zu sein, berichtet Clay, doch seien wahrscheinlich die mit dem Netzwerk verbundenen IT-Systeme das Ziel gewesen.
Das könnte sich jedoch ändern, da viele Organisationen ein OT-Netzwerk hätten, welches für ihren Betrieb „kritisch“ sei und daher zum Ziel werden könnte. „Wir haben bereits dargestellt, wie Fertigungsunternehmen mit moderner Ransomware angegriffen werden und welche Auswirkungen dies hat.“

Konsequenzen des aktuellen Ransomware-Angriffs auf Colonial-Pipeline

Der Ausfall von Systemen, die den täglichen Geschäftsbetrieb eines Unternehmens steuern, könne finanzielle und Reputationsschäden verursachen. „Aber ein Angriff könnte auch unbeabsichtigte Folgen haben, wenn man sich zu prominente Opfer sucht, und der Colonial-Pipeline-Angriff könnte ein Beispiel dafür sein.“
Denn die Zerstörung eines wichtigen Teils der Kritischen Infrastruktur einer Nation, selbst wenn das Motiv „nur“ finanzieller Gewinn ist, könnte zu schwerwiegenden Maßnahmen gegen die Akteure hinter diesem Angriff führen. In Zukunft müssten böswillige Akteure also möglicherweise die potenziellen Auswirkungen des Angriffs auf ihr Ziel abschätzen und entscheiden, „ob es geschäftlich sinnvoll ist, mit einem Angriff zu beginnen“.

Neuen auf Ransomware-Angriffe ausgerichteten Incident-Response-Plan erstellen

Ransomware werde auch in Zukunft zum Einsatz kommen. Daher müssten sich Unternehmen die Zeit nehmen, einen auf das neue Modell von Ransomware-Angriffen ausgerichteten Incident-Response-Plan zu erstellen. Folgendes sollte dabei überlegt werden:

1. Akzeptanz der Bedrohung
   „Akzeptieren Sie, dass Ihr Unternehmen zum Opfer werden kann!“ Jede Organisation könne unter Umständen auf dem Radar von böswilligen Akteuren sein, aber diejenigen, die in Kritischen Infrastrukturen tätig sind, müssten jetzt die Wahrscheinlichkeit abschätzen, angegriffen zu werden.
2. Access-as-a-Service
   Access-as-a-Service werde jetzt regelmäßig verwendet. Dabei führe in der Regel eine andere Gruppe den ersten Zugriff durch und verkaufe ihn an eine andere Gruppe. „Zielstrebige Angreifer werden immer einen Weg in Ihr Netzwerk finden, sei es über Phishing, ein anfälliges System, das für das Internet zugänglich ist, oder einen Angriff über die ,Supply Chain‘.“
3. Einsatz legitimer Tools
   Der böswillige Einsatz legitimer Tools gehöre zu den beliebtesten Taktiken über den Angriffszyklus hinweg.
4. Account-Zugangsdaten im Visier
   „Anvisiert werden die Account-Zugangsdaten Ihrer wichtigen Administratoren und Anwendungen.“
5. Zugriff auf für Doppelte Erpressung geeignete Daten
   „Ransomware-Akteure versuchen Daten abzuziehen, die für eine Doppelte Erpressung geeignet scheinen.“
6. Ransomware-Komponente zum schlechten Schluss
   Die Ransomware-Komponente werde die letzte Option in den böswilligen Aktivitäten darstellen, denn sie sei der sichtbarste Teil eines Angriffszyklus und zeige dem Opfer, „dass ein System kompromittiert wurde“.

Tipps für Unternehmen mit OT-Netzwerken zur Ransomware-Abwehr

Laut Clay sollten Unternehmen, welche OT-Netzwerke betreiben, über folgende Punkte nachdenken:

• „Erfassen Sie die Risiken für den Fall, dass Ihr OT-Netzwerk abgeschaltet wird!“
• „Setzen Sie ein Sicherheitsmodell für die Geräte im OT-Netzwerk auf, vor allem für diejenigen, die keinen Sicherheitsagenten unterstützen!“
• „Netzwerksegmentierung ist von kritischer Bedeutung!“
• „Muss Ihr OT-Netzwerk aufgrund einer Kompromittierung des IT-Netzwerks abgeschaltet werden, sollten Sie überlegen, wie Sie diese Einschränkung überwinden können!“

Aktuelle Ransomware-Attacke ein weiterer Weckruf für alle Organisationen

Dieser jüngste Angriff sei ein weiterer Weckruf für alle Organisationen, ihre Netzwerke gegen Angriffe zu härten und ihre Wahrnehmung zu verbessern, wenn sich bösartige Akteure in ihrem Netzwerk befinden.
„Wir verfügen mit ,Trend Micro Vision One‘ über eine mehrschichtige Cyber-Sicherheitsplattform, die dabei helfen kann, die Erkennung und Reaktion auf die neuesten Ransomware-Angriffe zu verbessern und die Sichtbarkeit zu erhöhen“, betont Clay.

Weitere Informationen zum Thema:

blog.trendmicro.de, Janus Agcaoili & Earle Earnshaw
Legitime Tools werden in Ransomware-Kampagnen missbraucht

blog.trendmicro.de, Ryan Flores
Schäden in Fertigungsnetzwerken durch moderne Ransomware

KrebsonSecurity, 05.04.2021
Ransom Gangs Emailing Victim Customers for Leverage

blog.trendmicro.de, Jon Clay (Director, Global Threat Communications)
Der neuen Welle der Ransomware-Angriffe Widerstand leisten

datensicherheit.de, 12.05.2021
DarkSide: RaaS-Attacke gegen Colonial Pipeline / Junge Ransomware-Familie DarkSide erstmals im August 2020 aufgetreten

datensicherheit.de, 12.05.2021
Lehren aus dem Ransomware-Angriff auf Colonial Pipeline für Kritis-Betreiber / Edgard Capdevielle erläutert in seiner Stellungnahme, wie sich Kritis-Betreiber absichern können

datensicherheit.de, 11.05.2021
Ransomware-Angriff: Kraftstoffversorgung über Colonial Pipeline unterbrochen / FBI bestätigt Attacke auf Colonial Pipeline durch Hacker-Gruppe DarkSide

datensicherheit.de, 10.05.2021
Colonial Pipeline: Massiver Ransomware-Angriff auf Betreiber / Tenable kommentiert Folgen für die Betriebstechnik durch IT-Ausfall nach Ransomware-Befall