Tagebuch eines Ransomware-Angriffs: Einblicke in den Vorfall bei Colonial Pipeline

Oktober 8, 2021
Kaseya
Ransomware

Ransomware ist ein verheerender Schlag für jede Organisation. Der finanzielle Schaden ist das erste, was einem in den Sinn kommt, aber andere Aspekte des Vorfalls können genauso schlimm oder noch schlimmer sein. Die Unterbrechung durch einen einzigen Ransomware-Angriff wirkt sich auf den gesamten Betrieb aus und erzeugt einen Welleneffekt, der weitreichende Folgen haben kann. Der Ransomware-Vorfall bei Colonial Pipeline im Mai 2021 ist ein gutes Beispiel dafür, wie sich dieser Ripple-Effekt auswirkt.   

Unternehmen, die von Ransomware betroffen sind, verlieren schätzungsweise durchschnittlich sechs Arbeitstage, und 37 % von ihnen haben Ausfallzeiten von einer Woche oder mehr. Das kann sich niemand leisten, vor allem jetzt nicht, wo die Budgets in einer unsicheren Wirtschaftslage knapp bemessen sind. Die Störung bei Colonial Pipeline hatte nicht nur Auswirkungen auf die Produktivität des Unternehmens, sondern auch auf das tägliche Leben vieler Amerikaner und warf ein Schlaglicht auf die Gefahr von Cyberangriffen auf Infrastruktur oder kritische Dienste. Bei den meisten Ransomware-Angriffen handelt es sich um komplexe, undurchsichtige Operationen, bei denen die genauen Einzelheiten nur selten ans Licht kommen. Der Ransomware-Vorfall bei Colonial Pipeline wurde jedoch umfassend untersucht, recherchiert und berichtet, was einen seltenen Einblick in die Abläufe eines Ransomware-Angriffs ermöglicht. 

5 Fakten über Ransomware im Vergleich. Unternehmen zur Erinnerung 

Die Geschichte des Zwischenfalls mit der Colonial Pipeline

Einrichten des Vorgangs 

Die Ransomware-BandeDarkSidewurde durch einen erfolgreichen Angriff auf Colonial Pipeline bekannt, bei dem sie eine Lösegeldsumme von schätzungsweise etwas mehr als 4 Millionen US-Dollar erbeutete. Diese Operation wurde jedoch nicht direkt von den Entwicklern und Betreibern von DarkSide durchgeführt. Stattdessen wurde der Hack auf Colonial Pipeline von einem Partnerunternehmen der größeren Operation unter Verwendung der proprietären Malware von DarkSide durchgeführt.  Diese Tochtergesellschaft stellte überDark-Web-Foreneigene Subunternehmer ein und sammelte resources Dark-Web-Datenmärkten und -Dumps, um die Tat auszuführen. 

Dann schlug die Satellitenbande zu und legte Colonial Pipeline mit einem verheerenden Angriff lahm, der die größte Kraftstoffpipeline der USA stilllegte. Der Einstiegspunkt für die Bande war ein einziges kompromittiertes Mitarbeiterpasswort, das ihnen die Schlüssel zum Königreich verschaffte. Mit diesem gestohlenen Passwort drang die DarkSide-Tochter in die zugegebenermaßen laxen digitalen Sicherheitsvorkehrungen von Colonial Pipeline ein und lieferte ihre Fracht, die proprietäre Ransomware von DarkSide, um die Systeme und Daten von Colonial Pipeline zu verschlüsseln. Danach kam der einfache Teil: Die Tochtergesellschaft stellte einen Timer für die Bereitstellung der Malware ein, stellte ihre Lösegeldforderung und lehnte sich zurück, um auf ihr Geld zu warten.  

Das Aufstellen der Falle

Etwas mehr als eine Woche nach dem ersten Eindringen begann die Infektion mit der Ransomware und leitete das Endspiel für die Tochtergesellschaft ein. Ein Mitarbeiter, der seinen Arbeitstag im zentralen Kontrollraum von Colonial Pipeline begann, sah eine Lösegeldforderung in Kryptowährung auf seinem Computer auftauchen und rief seinen Vorgesetzten an. Daraufhin begann für Colonial Pipeline ein Wettlauf mit der Zeit, um die Infektion abzuwehren und ihre Systeme und Daten zu retten. Nachdem die Pipeline heruntergefahren wurde, um den Schaden zu begrenzen und ein weiteres Eindringen der Hacker zu verhindern, musste Colonial schnellstens Experten zur Hilfe holen.  

Die Angreifer legten die Colonial Pipeline mit verheerender Wirkung lahm und brachten die Benzinversorgung im gesamten Osten der USA zum Erliegen. Der Medienrummel um den Anschlag führte dazu, dass besorgte Verbraucher in langen Schlangen an den Tankstellen warteten, aus Angst vor einer möglicherweise lang anhaltenden drohenden Benzinknappheit, die nicht wirklich eintrat. Aber das spielte keine Rolle. Alle großen Nachrichtenagenturen berichteten über diese gewaltige Geschichte, und die Cybersicherheit wurde zum Lieblingsthema aller, vor allem im Hinblick auf den Einsatz von Cybersicherheit in der Kriegsführung und das Hacken durch staatliche Stellen, obwohl sich letztlich herausstellte, dass es sich nicht um eine Operation staatlicher Bedrohungsakteure, sondern nur um gierige Cyberkriminelle handelte.  

Die Profite (und die Folgen) 

Zusätzlich zu dem Lösegeld, das für die Entschlüsselung gezahlt wurde, stahl die Bande schätzungsweise 100 Gigabyte an Daten, die hochsensibel sein könnten. Das gab ihnen eine zusätzliche Gelegenheit zu profitieren, unabhängig davon, ob Colonial Pipeline das Lösegeld bezahlte oder nicht. Außerdem bedeutet die Zahlung an die Angreifer nicht, dass die Daten des Opfers vollständig zurückgegeben und nicht dupliziert oder in einer anderen Cyberkriminalitätsoperation verwendet werden. Es gibt nie eine Garantie dafür, dass die Bande Ihre Daten nicht bereits kopiert und verkauft hat, und Sie können nie sicher sein, ob sie die Wahrheit sagt, wenn sie behauptet, dass sie dies nicht getan hat. Tatsächlich sind weniger als 60 % der Unternehmen, die Lösegeld zahlen, in der Lage, auch nur einen Teil ihrer Daten wiederherzustellen, und 39 % der Unternehmen, die ein Lösegeld zahlen, sehen ihre Daten nie wieder. 

Nach allen Maßstäben war der Angriff der DarkSide-Tochtergesellschaft ein durchschlagender Erfolg. Die Angreifer erbeuteten einen großen Zahltag und einen Schatz an wertvollen Daten. Colonial Pipeline zahlte den Angreifern in kürzester Zeit mindestens ein Lösegeld in Höhe von 4,4 Millionen Dollar. Auch die größere DarkSide-Bande verdiente Geld: Laut FireEye-Forschern müssen DarkSide-Mitglieder etwa 25 % der Lösegeldzahlungen unter 500.000 US-Dollar und 10 % aller erfolgreichen Lösegeldzahlungen über 5 Millionen US-Dollar an die größere Bande weiterleiten.  

Die Cyberkriminellen, die diese Operation durchgeführt haben, sorgten weltweit und in Hackerkreisen für Aufsehen. Sie sammelten resources zukünftige Cyberkriminalitätsoperationen durchzuführen. Sie stärkten ihren Ruf und den der Bande in gewisser Weise, schufen aber gleichzeitig ein Problem, das letztendlich zum Untergang von DarkSide führte. Eine groß angelegte und mit umfangreichen Ressourcen durchgeführte Untersuchung der Umstände und Akteure des Angriffs auf Colonial Pipeline zwang DarkSide in den Untergrund und führte zur offiziellen Auflösung der Organisation. Ein Teil des Lösegeldes wurde später vom FBI im Rahmen einer verdeckten Ermittlung gegen Cyberkriminalität sichergestellt. 

Ransomware ist sehr lukrativ, insbesondere die doppelt verschlüsselte Variante, die DarkSide bevorzugte. Bevor die Bande nach dem Colonial Pipeline-Vorfall untertauchte, hatte DarkSide laut den Blockchain-Analysten von Elliptic im Laufe seines kurzen Bestehens 90 Millionen Dollar an Bitcoin-Lösegeldzahlungen erhalten. Sie schätzten außerdem, dass die durchschnittliche Ransomware-Zahlung bei einer DarkSide-Operation bei etwa 1,9 Millionen Dollar lag. Von der Gesamtbeute, die DarkSide-Operationen einbrachten, gingen nach Schätzungen dieser Experten 15,5 Millionen Dollar an den DarkSide-Entwickler und 74,7 Millionen Dollar an die angeschlossenen Unternehmen. 

Die Vorhersage ist nicht gut 

Dieser Angriff rückte Ransomware in den Mittelpunkt einer breiteren kulturellen Debatte darüber, wie wichtige resources geschützt resources Cyberkriminalität in der digitalen Welt bekämpft werden können. Nach diesem Angriff richtete die US-Bundesregierung eine Ransomware-One-Stop-Website ein, um die verfügbaren resources der Regierung resources einem Dach zu bündeln und Unternehmen support Kampf gegen Cyberkriminalität support . Diese Ressource kam genau zum richtigen Zeitpunkt, denn Ransomware-Angriffe haben Unternehmen weiterhin schwer getroffen und im zweiten Quartal 2021 ein bisher unerreichtes Ausmaß erreicht.  

  • Ransomware macht inzwischen 69 % aller Angriffe mit Malware aus  
  • Das ist ein Zuwachs von 30 % gegenüber dem gleichen Quartal 2020. Dieser Anstieg umfasst  
  • Allein im April 2021 gab es einen massiven Anstieg der Ransomware-Angriffe um 45 %. 
  • Britische Forscher stellten fest, dass 22 % der Angriffe im ersten Quartal 2021 Ransomware waren    

Die Zukunft des Ransomware-Risikos 

Was können wir in naher Zukunft von der Entwicklung von Ransomware und Cyberkriminalität erwarten? Hier sind drei unserer Vorhersagen.  

  1.  Mehr Einsatz von Ransomware als Waffe 

Im Dezember 2020 bekamen die Regierung der Vereinigten Staaten und viele große Unternehmen die wahren Auswirkungen eines massiven, zielgerichteten Angriffs eines Nationalstaates zu spüren, als bei dem Cybersicherheitssoftware-Riesen SolarWinds eine Sicherheitslücke entstand. Ein chaotisches Geflecht aus Hintertüren, gefälschten Patches, kompromittierten Geschäfts-E-Mails, bösartigem Code, Phishing und vielem mehr wurde entwirrt und brachte die alarmierende Tatsache ans Licht, dass wahrscheinlich von Russland gesponserte Hacker über Monate hinweg in die Systeme der US-Regierung und der Verteidigungsbehörden eingedrungen waren und sich Zugang zu allen möglichen Informationen verschafft hatten. Dieselbe Gruppe von Hackern wurde auch mit Angriffen auf Microsoft, Cisco, FireEye und andere große Technologieunternehmen in Verbindung gebracht. Dies ist einer der bisher größten Beweise für den Einsatz von Ransomware als Spionage- oder sogar Kriegswerkzeug. 

2. Phishing-Risiko, das unaufhörlich zunimmt  

Das Phishing-Risiko explodiert und wird 2021 gegenüber den Rekordzahlen von 2020 um fast 300 % ansteigen. Ein Teil dieses Anstiegs kann auf die anhaltenden Pandemie-Sperren zurückgeführt werden, die Remote-Arbeit und neue hybride Arbeitsmodelle ausweiten. Leider waren schätzungsweise 74 % der Unternehmen in den USA im Jahr 2020 von mindestens einem Phishing-Angriff betroffen, und 80 % der Befragten in einer britischen Umfrage gaben an, dass die Zahl der Phishing-Angriffe in ihrem Unternehmen ebenfalls zugenommen hat. 

3. Zunahme strategischer Angriffe mit hoher Treffgenauigkeit 

Die Forscher stellten fest, dass gezielte Ransomware um atemberaubende 767 % zugenommen hat und damit alle anderen Arten in den Schatten stellt. Diese Zunahme an sorgfältig sozial manipulierten bösartigen Nachrichten ist besonders in der APAC-Region zu spüren. Die jüngsten Zahlen, die von britischen Forschern aufgezeichnet wurden, sind ebenfalls erschreckend: Im ersten Quartal 2021 stieg die Zahl der Angriffe auf britische Ziele um rekordverdächtige 11 % im Vergleich zum Vorjahr. Zwischen Januar und März 2021 waren britische Unternehmen im Durchschnitt 172.079 Cyberangriffen ausgesetzt, das entspricht 1.912 pro Tag. Cyberkriminelle wählen ihre Ziele mit Bedacht aus, um den größtmöglichen Nutzen aus jedem Angriff zu ziehen und die Ermittlungen der Strafverfolgungsbehörden zu minimieren, die sie in Teufels Küche bringen könnten. 

Entdecken Sie das Geheimnis einer starken Ransomware-Abwehr 

Der Kampf gegen Ransomware beginnt mit der Bekämpfung von Phishing. Richten Sie im Handumdrehen einen intelligenten Schutz gegen Ransomware-Bedrohungen ein – mit der automatisierten, KI-gestützten E-Mail-Sicherheit vonKaseya 365 . Als ideale Lösung gegen die Flut gefährlicher Phishing-E-Mails, die jedes Unternehmen erreicht, bietetKaseya 365 mehr Schutz durch drei leistungsstarke Sicherheitsschichten. 

  • TrustGraph nutzt mehr als 50 verschiedene Datenpunkte, um eingehende Nachrichten vollständig zu analysieren, bevor sie in die Posteingänge der Mitarbeiter gelangen. TrustGraph lernt außerdem aus jeder Analyse, die es durchführt, und fügt diese Informationen seiner Wissensdatenbank hinzu, um Ihren Schutz kontinuierlich zu verbessern und ohne menschliches Zutun weiter zu lernen.  
  • EmployeeShield fügt Nachrichten, die gefährlich sein könnten, ein helles, auffälliges Kästchen hinzu, das die Mitarbeiter über unerwartete Mitteilungen informiert, die unerwünscht sein könnten, und ihnen die Möglichkeit gibt, diese Nachricht mit einem Klick zur Überprüfung durch den Administrator zu melden.    
  • Mit Phish911 können Mitarbeiter jede verdächtige Nachricht, die sie erhalten, sofort melden. Wenn ein Mitarbeiter ein Problem meldet, wird die betreffende E-Mail nicht nur aus dem Posteingang des betreffenden Mitarbeiters entfernt, sondern auch aus dem Posteingang aller Mitarbeiter und automatisch zur Überprüfung durch den Administrator unter Quarantäne gestellt. 

Die Entscheidung liegt auf der Hand: Intelligente, automatisierte E-Mail-Sicherheit ist für Unternehmen im Jahr 2021 und darüber hinaus der richtige Weg. Wir helfen Ihnen dabei, Ihrem Unternehmen die großen Vorteile automatisierter Sicherheit zu einem geringen Preis zu sichern, ohne dabei auf Funktionalität oder Innovation verzichten zu müssen – entscheiden Sie sich fürKaseya 365 .Vereinbaren Sie noch heute eine Demo.

Eine umfassende Plattform für IT- und Security

Kaseya 365 die Komplettlösung für die Verwaltung, Absicherung und Automatisierung der IT. Durch die nahtlose Integration wichtiger IT-Funktionen vereinfacht sie den Betrieb, erhöht die Sicherheit und steigert die Effizienz.

Eine Demo erhalten Entdecken Sie Kaseya 365

Eine Plattform. Alles IT.

Kaseya 365 profitieren von den Vorteilen der besten IT-Management- und Sicherheitstools in einer einzigen Lösung.

Entdecken Sie Kaseya 365

Ihr Erfolg ist unsere Priorität Nr. 1

Partner First ist eine Verpflichtung zu flexiblen Konditionen, geteiltem Risiko und engagierter Unterstützung für Ihr Unternehmen.

Entdecken Sie Partner First Pledge

Globaler MSP -Bericht 2025

Der Global MSP Report 2025 von Kaseya ist Ihre erste Anlaufstelle, um zu verstehen, wohin sich die Branche entwickelt.

Jetzt herunterladen

Kategorien entdecken

Von Phishing bis Ransomware: So schützt Kaseya 365 Ihre SaaS-Anwendungen

SaaS-Anwendungen wie Microsoft 365 und Google Workspace unterstützen nahezu jeden Aspekt der heutigen digitalen Abläufe. Allerdings, da UnternehmenMehr lesen

Blogbeitrag lesen

Was ist Ransomware-as-a-Service (RaaS)?

Ransomware-as-a-Service ist ein Geschäftsmodell, bei dem Cyberkriminelle Ransomware entwickeln und sie an Partner verkaufen oder vermieten. Erfahren Sie, wie es funktioniert und wie Sie es stoppen können.

Blogbeitrag lesen

Vermeiden Sie IT-Bruch am Valentinstag mit Ransomware-Erkennung

An diesem Valentinstag wollen Cyberkriminelle aus aller Welt Ihnen das Herz brechen. Ihr Ziel ist es, sich inMehr lesen

Blogbeitrag lesen