[datensicherheit.de, 14.02.2022] Zum unlängst erfolgten Hacker-Angriff auf das weltweit größte unabhängige Tanklogistikunternehmen Oiltanking hat sich auch Julian Totzek-Hallhuber, Solutions Architect bei Veracode, Gedanken zum Thema Cyber-Sicherheit gemacht. Er geht in seiner aktuellen Stellungnahme darauf ein, wie wichtig es für Kritis-Unternehmen sein sollte, an allen digitalen Fronten für Sicherheit zu sorgen, und erklärt nach eigenen Angaben, warum die Zusammenarbeit mit Software-Entwicklern und Sicherheitsteams in dieser Hinsicht unerlässlich ist. Ende Januar 2022 hatten der Tanklogistiker Oiltanking sowie der Mineralölhändler Mabanaft, beide Tochterunternehmen des Hamburger Konzerns Marquard & Bahls, gemeldet, Opfer eines Cyber-Angriffs geworden zu sein – nach ersten Einschätzungen vermutlich eine Ransomware-Attacke. Dieser Angriff auf das weltweit größte unabhängige Tanklogistikunternehmen hatte demnach zur Folge, dass es seine Be- und Entladesysteme vollständig außer Betrieb nehmen musste. Unter den betroffenen Abnehmern, die keinen Kraftstoff mehr erhielten, sollen sich zahlreiche mittelständische Tankstellen, aber auch Großkonzerne wie Shell, befunden haben.

Foto: Veracode

Julian Totzek-Hallhuber: Im Einsatz befindliche Software sollte auf einem Security-by-Design-Ansatz aufbauen!

Nun auch Cybercrime-Kampagnen gegen Kritis in Deutschland

„Die Cyber-Attacke auf Oiltanking erinnert stark an jene auf das U.S. Pipelineunternehmen Colonial Pipeline im Mai letzten Jahres“, so Totzek-Hallhuber. Dabei sei es der ,DarkSide‘-Gruppe gelungen, ein altes Mitarbeiter-Account zu kapern und Ransomware in das IT-System zu schleusen. Colonial habe daraufhin den Pipeline-Betrieb eingestellt, was 45 Prozent der Kraftstoffversorgung an der US-Ostküste für mehrere Tage lahmgelegt habe.

Totzek-Hallhuber warnt: „Nun haben solche Cybercrime-Kampagnen auch Versorgungsunternehmen in Deutschland erreicht, doch im Gegensatz zu Colonial Pipeline kam es aus einem Grund nicht zu einem Totalausfall und Chaos unter Verbrauchern: Die Kraftstoffversorgung konnte über 26 unabhängige Tanklagerunternehmen mit mehr als 100 Standorten in Deutschland schlichtweg umverteilt werden. Dennoch sollten wir alles in unserer Macht Stehende tun, um zu verhindern, dass diese Angriffe zur Gewohnheit werden.“

Kritis-Schwachstellen schnell identifizieren und beheben, bevor Angreifer sie ausnutzen können!

So habe es zum Angriff kommen können: „Oiltanking betreibt und überwacht seine Tanklager digital und vollautomatisiert. Was einerseits ein Segen ist hinsichtlich effizienterer Prozesse, ist gleichzeitig ein Fluch. Sind diese Systeme nicht ausreichend geschützt, ist es für Cyber-Kriminelle ein leichtes Spiel, sich Zugang zu IT-Systemen zu verschaffen.“ Ziel von Kritis-Unternehmen sollte es sein, an allen digitalen Fronten für Sicherheit zu sorgen und sicherzustellen, dass die sich im Einsatz befindliche Software auf einem Security-by-Design-Ansatz aufbaut.

„Chief Information Officers“ müssten insbesondere der Anwendungssicherheit eine höhere Bedeutung zukommen lassen. Hierfür gelte es, eng mit Software-Entwicklern und Sicherheitsteams zusammenzuarbeiten und regelmäßige Scans von Codes und Anwendungen durchzuführen. Totzek-Hallhuber betont abschließend: „Dadurch lassen sich Schwachstellen schnell identifizieren und beheben, bevor Angreifer sie ausnutzen können. Schließlich etablieren wir in so vielen Bereichen hohe Sicherheitsstandards – warum dann nicht auch, wenn es um Cyber-Kriminalität geht?“

Weitere Informationen zum Thema:

datensicherheit.de, 02.02.2022
Cyber-Angriff auf Oiltanking legt Shell-Zulieferer lahm / Zunehmend stehen Kritische Infrastrukturen und Lieferketten im Fokus Cyber-Krimineller, warnt auch René Golembewski

[datensicherheit.de, 12.05.2021] Check Point Research (CPR), die „Threat Intelligence“-Abteilung der Check Point® Software Technologies Ltd., beobachtet nach eigenen Angaben „konstant die Bedrohungslandschaft“ und stellt fest, „dass Angriffe mit Ransomware stark zunehmen“ – über die vergangenen neun Monate hätten deren Sicherheitsexperten einen Anstieg der Angriffe pro Woche in den USA um etwa 300 Prozent verzeichnet. In der 18. Kalenderwoche 2021 wurde nun auch die Treibstoff-Pipeline des Betreibers Colonial im US-Staat Georgia Ziel eines Angriffs.

Foto: Check Point

Lotem Finkelsteen: Die Hacker schreckten vor wenig zurück …

DarkSide arbeitet über Ransomware-as-a-Service-Modell

Diese Pipeline transportiere täglich über 2,5 Millionen Barrel an Brennstoff und versorgte geschätzte 50 Millionen Menschen. Laut Erkenntnissen der US-Ermittlungsbehörde FBI soll die Ransomware „DarkSide“ bei diesem Angriff zum Einsatz gekommen sein. Diese junge Ransomware-Familie sei erstmals im August 2020 auf den Plan getreten – so zu finden auf der Website „ID-Ransomware“, einer Enzyklopädie für entsprechende Malware.
Es handele sich dabei um Ransomware-as-a-Service, also ein Schadprogramm, welches sich auf dem Schwarzmarkt gegen Bezahlung mieten lasse. Die Anbieter und die Anwender der Malware teilten sich dabei das erbeutete Lösegeld – sowohl Anteile als auch Einsatzgebiete seien in einer Art Nutzungsvereinbarung geregelt. Zudem betrieben die Verantwortlichen die berüchtigte Masche der sogenannten Doppelten Erpressung, „weil sie nicht nur die Dateien ihrer Opfer verschlüsseln, sondern mit der Veröffentlichung zuvor gestohlener Teile im Internet drohen“.

Jeder der Partner der DarkSide-Gruppe könnte Urheber sein

„Was wir über die ,DarkSide‘-Ransomware bislang wissen: Sie arbeitet über ein Ransomware-as-a-Service (RaaS)-Modell, worin sie ein Partnerprogramm nutzt, um ihre Angriffe auszuführen,“ berichtet Lotem Finkelsteen, „Head of Threat Intelligence“ bei Check Point. Das bedeutet laut Finkelsteen, „dass wir sehr wenig über den tatsächlichen Bedrohungsakteur hinter dem Angriff gegen Colonial wissen, da es jeder der Partner von ,Darkside‘ sein könnte“. Sie könnten jedoch sagen, dass umfangreichen Operationen wie dieser ein ausgeklügelter und gut konzipierter Cyber-Angriff zugrunde liege.
Der aktuelle Angriff gegen Colonial füge sich damit in eine wachsende Welle von Ransomware-Angriffen ein, besonders gegen Ziele in den Vereinigten Staaten von Amerika. Dabei schreckten die Hacker vor wenig zurück: „Eine von 39 Einrichtungen im Gesundheitswesen wurde bereits das Opfer eines Angriffs, im Bildungswesen war es eine von 48 und im Regierungssektor eine in 61. Versorgungsunternehmen, wie Colonial, wurden zuletzt jede Woche etwa 300-mal attackiert.“ Dies entspreche einem Anstieg von rund 50 Prozent in zwei Monaten – in der ersten März-Woche 2021 seien es noch im Durchschnitt 171 Angriffe gewesen.

Weitere Informationen zum Thema:

Check Point Research
Home

datensicherheit.de, 12.05.2021
Ransomware-Angriff auf Colonial Pipeline nur Teil einer neuen Welle / Betreiber einer der größten Treibstoff-Pipelines der USA musste Betrieb nach Attacke mit DarkSide-Ransomware vorübergehend einstellen

datensicherheit.de, 12.05.2021
Lehren aus dem Ransomware-Angriff auf Colonial Pipeline für Kritis-Betreiber / Edgard Capdevielle erläutert in seiner Stellungnahme, wie sich Kritis-Betreiber absichern können

datensicherheit.de, 11.05.2021
Ransomware-Angriff: Kraftstoffversorgung über Colonial Pipeline unterbrochen / FBI bestätigt Attacke auf Colonial Pipeline durch Hacker-Gruppe DarkSide

datensicherheit.de, 10.05.2021
Colonial Pipeline: Massiver Ransomware-Angriff auf Betreiber / Tenable kommentiert Folgen für die Betriebstechnik durch IT-Ausfall nach Ransomware-Befall

[datensicherheit.de, 12.05.2021] Ransomware habe sich im Laufe der Zeit immer wieder verändert – wie sehr, zeige der Ransomware-Angriff auf Colonial Pipeline, der nur Teil einer neuen Welle von Attacken gegen hochrangige Opfer sei. Nach diesem Cyber-Angriff auf eine der größten Treibstoff-Pipelines der USA sei deren Betrieb vorübergehend eingestellt worden. Die böswilligen Akteure seien auf möglichst hohe Erpressungssummen aus und zielten daher auf Organisationen, „die eher bereit sind zu zahlen, wenn sie deren Geschäftsbetrieb stören“. Dies habe sich bereits früher bei Opfern aus dem Regierungs- und Bildungsbereich beobachten lassen – je mehr Leid die Kriminellen einer Organisation zufügen können, „desto wahrscheinlicher ist es, dass das Opfer zahlt“. Jon Clay, „Director Global Threat Communications“ bei Trend Micro, geht in seinem Kommentar auf die Frage ein, was Unternehmen angesichts der Bedrohung tun tun können.

Entwicklung der Ransomware-Angriffe hat Phase 4 erreicht

„Ransomware-Angriffe haben viele Stationen durchlaufen und wir beobachten jetzt Phase 4“, erläutert Clay:

1. Phase: Einfache Ransomware
   Dateien würden verschlüsselt, dann die Lösegeldforderung abgegeben und schließlich auf die Zahlung in Bitcoin gewartet.
2. Phase: Doppelte Erpressung
   Phase 1 zzgl. Datenexfiltrierung und Drohung mit der Veröffentlichung. „Maze“ sei die erste Erpressungssoftware dieser Art gewesen und die anderen Hacker-Gruppen folgten diesem Beispiel.
3. Phase: Dreifache Erpressung.
   Phase 1 und Phase 2 sowie Drohung mit DDoS. „Avaddon“ sei der erste dokumentierte Fall geweseb.
4. Phase: Vierfache Erpressung
   Phase 1 und möglicherweise Phase 2 oder Phase 3 sowie direktes Mailing an den Kundenstamm des Opfers. „Cl0p“ sei zum ersten Mal auf diese Weise eingesetzt worden, so Brian Krebs in seinem Blog „KrebsonSecurity“ am 5. April 2021.

Doppelte Erpressung mittels neuester Ransomware-Angriffe

Meistens handele es sich heute um Doppelte Erpressung, so Clay, „doch sehen wir einen Wechsel hin zum Anvisieren von kritischen Geschäftssystemen“. In diesem jüngsten US-Fall scheinen keine OT-Systeme betroffen zu sein, berichtet Clay, doch seien wahrscheinlich die mit dem Netzwerk verbundenen IT-Systeme das Ziel gewesen.
Das könnte sich jedoch ändern, da viele Organisationen ein OT-Netzwerk hätten, welches für ihren Betrieb „kritisch“ sei und daher zum Ziel werden könnte. „Wir haben bereits dargestellt, wie Fertigungsunternehmen mit moderner Ransomware angegriffen werden und welche Auswirkungen dies hat.“

Konsequenzen des aktuellen Ransomware-Angriffs auf Colonial-Pipeline

Der Ausfall von Systemen, die den täglichen Geschäftsbetrieb eines Unternehmens steuern, könne finanzielle und Reputationsschäden verursachen. „Aber ein Angriff könnte auch unbeabsichtigte Folgen haben, wenn man sich zu prominente Opfer sucht, und der Colonial-Pipeline-Angriff könnte ein Beispiel dafür sein.“
Denn die Zerstörung eines wichtigen Teils der Kritischen Infrastruktur einer Nation, selbst wenn das Motiv „nur“ finanzieller Gewinn ist, könnte zu schwerwiegenden Maßnahmen gegen die Akteure hinter diesem Angriff führen. In Zukunft müssten böswillige Akteure also möglicherweise die potenziellen Auswirkungen des Angriffs auf ihr Ziel abschätzen und entscheiden, „ob es geschäftlich sinnvoll ist, mit einem Angriff zu beginnen“.

Neuen auf Ransomware-Angriffe ausgerichteten Incident-Response-Plan erstellen

Ransomware werde auch in Zukunft zum Einsatz kommen. Daher müssten sich Unternehmen die Zeit nehmen, einen auf das neue Modell von Ransomware-Angriffen ausgerichteten Incident-Response-Plan zu erstellen. Folgendes sollte dabei überlegt werden:

1. Akzeptanz der Bedrohung
   „Akzeptieren Sie, dass Ihr Unternehmen zum Opfer werden kann!“ Jede Organisation könne unter Umständen auf dem Radar von böswilligen Akteuren sein, aber diejenigen, die in Kritischen Infrastrukturen tätig sind, müssten jetzt die Wahrscheinlichkeit abschätzen, angegriffen zu werden.
2. Access-as-a-Service
   Access-as-a-Service werde jetzt regelmäßig verwendet. Dabei führe in der Regel eine andere Gruppe den ersten Zugriff durch und verkaufe ihn an eine andere Gruppe. „Zielstrebige Angreifer werden immer einen Weg in Ihr Netzwerk finden, sei es über Phishing, ein anfälliges System, das für das Internet zugänglich ist, oder einen Angriff über die ,Supply Chain‘.“
3. Einsatz legitimer Tools
   Der böswillige Einsatz legitimer Tools gehöre zu den beliebtesten Taktiken über den Angriffszyklus hinweg.
4. Account-Zugangsdaten im Visier
   „Anvisiert werden die Account-Zugangsdaten Ihrer wichtigen Administratoren und Anwendungen.“
5. Zugriff auf für Doppelte Erpressung geeignete Daten
   „Ransomware-Akteure versuchen Daten abzuziehen, die für eine Doppelte Erpressung geeignet scheinen.“
6. Ransomware-Komponente zum schlechten Schluss
   Die Ransomware-Komponente werde die letzte Option in den böswilligen Aktivitäten darstellen, denn sie sei der sichtbarste Teil eines Angriffszyklus und zeige dem Opfer, „dass ein System kompromittiert wurde“.

Tipps für Unternehmen mit OT-Netzwerken zur Ransomware-Abwehr

Laut Clay sollten Unternehmen, welche OT-Netzwerke betreiben, über folgende Punkte nachdenken:

• „Erfassen Sie die Risiken für den Fall, dass Ihr OT-Netzwerk abgeschaltet wird!“
• „Setzen Sie ein Sicherheitsmodell für die Geräte im OT-Netzwerk auf, vor allem für diejenigen, die keinen Sicherheitsagenten unterstützen!“
• „Netzwerksegmentierung ist von kritischer Bedeutung!“
• „Muss Ihr OT-Netzwerk aufgrund einer Kompromittierung des IT-Netzwerks abgeschaltet werden, sollten Sie überlegen, wie Sie diese Einschränkung überwinden können!“

Aktuelle Ransomware-Attacke ein weiterer Weckruf für alle Organisationen

Dieser jüngste Angriff sei ein weiterer Weckruf für alle Organisationen, ihre Netzwerke gegen Angriffe zu härten und ihre Wahrnehmung zu verbessern, wenn sich bösartige Akteure in ihrem Netzwerk befinden.
„Wir verfügen mit ,Trend Micro Vision One‘ über eine mehrschichtige Cyber-Sicherheitsplattform, die dabei helfen kann, die Erkennung und Reaktion auf die neuesten Ransomware-Angriffe zu verbessern und die Sichtbarkeit zu erhöhen“, betont Clay.

Weitere Informationen zum Thema:

blog.trendmicro.de, Janus Agcaoili & Earle Earnshaw
Legitime Tools werden in Ransomware-Kampagnen missbraucht

blog.trendmicro.de, Ryan Flores
Schäden in Fertigungsnetzwerken durch moderne Ransomware

KrebsonSecurity, 05.04.2021
Ransom Gangs Emailing Victim Customers for Leverage

blog.trendmicro.de, Jon Clay (Director, Global Threat Communications)
Der neuen Welle der Ransomware-Angriffe Widerstand leisten

datensicherheit.de, 12.05.2021
DarkSide: RaaS-Attacke gegen Colonial Pipeline / Junge Ransomware-Familie DarkSide erstmals im August 2020 aufgetreten

datensicherheit.de, 12.05.2021
Lehren aus dem Ransomware-Angriff auf Colonial Pipeline für Kritis-Betreiber / Edgard Capdevielle erläutert in seiner Stellungnahme, wie sich Kritis-Betreiber absichern können

datensicherheit.de, 11.05.2021
Ransomware-Angriff: Kraftstoffversorgung über Colonial Pipeline unterbrochen / FBI bestätigt Attacke auf Colonial Pipeline durch Hacker-Gruppe DarkSide

datensicherheit.de, 10.05.2021
Colonial Pipeline: Massiver Ransomware-Angriff auf Betreiber / Tenable kommentiert Folgen für die Betriebstechnik durch IT-Ausfall nach Ransomware-Befall

[datensicherheit.de, 10.05.2021] In den letzten Tagen vermeldeten internationale Medien einen Cyber-Angriff (demnach eine Ransomware-Attacke mit einer „Beute“ von rund 100 Gigabyte) auf den größten Pipeline-Betreiber in den USA, Colonial Pipeline, der dessen Betrieb lahmlegt habe. Es sollte laut Tenable beachtet werden, dass diese spezielle Sicherheitslücke sowie mehrere andere, inzwischen gepatchten nur hätten ausgenutzt werden können, wenn die „vManage“-Software im Cluster-Modus laufe. Wenn ein Unternehmen „vManage“ verwendet, wird daher dringend empfohlen, diese Patches so schnell wie möglich zu installieren.

Ransomware beliebter Angriffsvektor für Cyber-Kriminelle

Marty Edwards, „VP of OT Security“ bei Tenable und dienstältester Director des ICS-CERT erläutert: „Cyber-Angriffe sind eine reale und gegenwärtige Gefahr für Kritische Infrastrukturen auf der ganzen Welt und damit auch für jeden einzelnen Verbraucher. Wenn die Berichte zutreffen, weist der Vorfall bei Colonial Pipeline alle Merkmale eines umfassenden Ransomware-Angriffs auf, der in der IT-Umgebung begann und den Betreiber vorsichtshalber zum Herunterfahren des Betriebs zwang.“
Ransomware sei aufgrund ihrer Effektivität und ihres Return-on-Investment ein beliebter Angriffsvektor für Cyber-Kriminelle. „Das ist genau der Grund, warum Kriminelle in letzter Zeit immer wieder Kritische Infrastrukturen ins Visier genommen haben. Das Herunterfahren von OT-Umgebungen (Operational Technology) kann Hunderte von Millionen Dollar kosten, was die Anbieter dazu zwingt, die Kosten aufzuwiegen“ so Edwards.

Verlauf der Ransomware-Attacke noch unklart

Edwards betont: „Wir sollten diese Gruppen nicht unterschätzen. Viele von ihnen verfügen mittlerweile über Helpdesks, technischen Support, Lohnabrechnungen und Subunternehmer. Sie sind im Wesentlichen vollwertige kriminelle Unternehmen, die in der digitalen Welt operieren.“ Auch wenn nicht bekannt sei, wie sich dieser Angriff abgespielt hat, „so ist er doch eine weitere Erinnerung an die zunehmend ins Visier genommenen Kritischen Infrastrukturen, auf die wir uns alle verlassen“.
Zudem habe Cisco Mitte der 18. Kalenderwoche 2021 mehrere Sicherheitslücken in seiner SD-WAN-Software „vManage“ geschlossen. Eine davon ermögliche es Angreifern, Aktionen auszuführen, „die durchschnittlichen Benutzern nicht gewährt werden, wie z.B. das Erstellen von Konten mit Zugriff auf die Administrationsebene.“

Reaktion auf Ransamware-Angriff: Cisco hat mehrere Sicherheitslücken gepatcht

Satnam Narang, Staff Research Engineer beim IT-Sicherheitsanbieter Tenable, Foto: Tenable

Satnam Narang warnt: Angreifer muss nicht im Besitz gültiger Zugangsdaten sein, um sich bei der verwundbaren Anwendung zu authentifizieren

„Cisco hat am Mittwoch mehrere Sicherheitslücken gepatcht, darunter einige Schwachstellen in seiner SD-WAN-Software ,vManage‘. Am schwerwiegendsten ist ,CVE-2021-1468‘, eine Schwachstelle innerhalb der Verarbeitung nicht autorisierter Nachrichten“, kommentiert Satnam Narang, „Staff Research Engineer“ bei Tenable.
Die Schwachstelle besteht laut Narang deshalb, weil die „vManage“-Software keine Authentifizierungsprüfung für Eingaben durchführe, welche der Benutzer an den Messaging-Dienst der Anwendung übermittelt. Diese Schwachstelle könnte vor der Authentifizierung ausgenutzt werden, d.h. der Angreifer müsste nicht im Besitz gültiger Zugangsdaten sein und sich bei der verwundbaren Anwendung authentifizieren.

Weitere Informationen zum Thema:

datensicherheit.de, 12.05.2021
Lehren aus dem Ransomware-Angriff auf Colonial Pipeline für Kritis-Betreiber / Edgard Capdevielle erläutert in seiner Stellungnahme, wie sich Kritis-Betreiber absichern können

datensicherheit.de, 12.05.2021
DarkSide: RaaS-Attacke gegen Colonial Pipeline / Junge Ransomware-Familie DarkSide erstmals im August 2020 aufgetreten

datensicherheit.de, 12.05.2021
Ransomware-Angriff auf Colonial Pipeline nur Teil einer neuen Welle / Betreiber einer der größten Treibstoff-Pipelines der USA musste Betrieb nach Attacke mit DarkSide-Ransomware vorübergehend einstellen

datensicherheit.de, 11.05.2021
Ransomware-Angriff: Kraftstoffversorgung über Colonial Pipeline unterbrochen / FBI bestätigt Attacke auf Colonial Pipeline durch Hacker-Gruppe DarkSide

datensicherheit.de, 18.03.2021
Warum Ransomware noch immer so erfolgreich ist

Bloomberg, Cybersecurity, Jordan Robertson & William Turton, 09.05.2021
Colonial Hackers Stole Data Thursday Ahead of Shutdown

threatpost, Tara Seals, 06.05.2021
Critical Cisco SD-WAN, HyperFlex Bugs Threaten Corporate Networks

CISCO, 05.05.2021
Cisco Security Advisory / Cisco SD-WAN vManage Software Vulnerabilities

CISA CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY
Industrial Control Systems / Advisories and Reports