CyberCompare

14. Mai 2021: Colonial Pipeline angegriffen ++ BKA Cybercrime-Bericht ++ Ransomware-Erpressungswirtschaft

Cyberangriff auf Colonial Pipeline

Hat die IT/OT-Konvergenz zum Angriff beigetragen?

Colonial Pipeline, die Betreiberfirma einer der wichtigsten Pipelines der USA, ist Opfer eines Ransomware Angriffs geworden. Der Angriff führte dazu, dass das Unternehmen mit Sitz in Georgia einen Teil seiner Systeme offline nehmen musste. Außerdem sollen knapp hundert Gigabyte interner Daten abgefischt worden sein. Hinter dem Angriff auf Colonial Pipeline steckt eine relativ neue Gruppe von Cyberkriminellen, die sich Darkside nennt. Nach Angaben der auf die Abwehr von Ransomware spezialisierten IT-Sicherheitsfirma Cybereason arbeitet diese Gruppe nach dem Prinzip Ransomware-as-a-Service (RaaS).

Quelle: https://twitter.com/DailyMail/status/1392239615038443520

Joe Weiss, Cyber Security Experte und internationale Autorität für Steuerungssysteme und Systemsicherheit, analysiert in seinem Blog den Vorfall in Georgia.

Für Joe Weiss war der Cyberangriff auf Colonial Pipeline ein IT-Ransomware-Angriff, der darauf abzielte, Daten zu stehlen und IT-Systeme zu sperren, nicht aber physische Schäden zu verursachen: „Die Malware der Darkside Ransomware Group ist IT-Ransomware und nicht speziell für ICS-Angriffe entwickelt“.

Die eigentlichen Steuersysteme von Industrieanlagen sind bei besonders wichtiger Infrastruktur üblicherweise vom Rest der IT-Netze getrennt. Als Vorsichtsmaßnahme nahm Colonial Pipeline präventiv dennoch auch sein Rohrleitungsnetz außer Betrieb. Die Folge: Große Mengen Öl und Benzin müssen an der amerikanischen Ostküste bis auf Weiteres wieder mit Tankwagen über die Straße transportiert werden.

„Bislang scheint der Cyberangriff weder die Kontrollsysteme noch die OT-Netzwerke betroffen zu haben, was darauf hindeutet, dass die OT-Netzwerke entweder von den IT-Netzwerken isoliert waren oder nicht das Ziel des Angriffs waren“, schreibt Weiss.

Das Problem: Daten, die für den Pipeline-(Anlagen-) Betrieb notwendig sind, sollten nicht in einem IT-Netzwerk liegen, außer als Backup. Das heißt, dass ein Angriff auf das IT-Netzwerk niemals in der Lage sein sollte, den Pipeline-(Anlagen-)Betrieb oder dessen Sicherheit zu beeinträchtigen. Im Fall von Colonial Pipeline ist aber genau das passiert, weshalb die Abschaltung des Pipelinesystems unausweichlich war. Da es sich bei Ransomware um die Vorenthaltung von Daten und nicht um das Versenden bösartiger Daten handelt, würde man nicht erwarten, dass ein Ransomware-Angriff auf ein IT-Netzwerk direkt von der OT-Netzwerküberwachung entdeckt wird. Die Vermischung von IT- und OT-Netzwerken hat den „IT-Fußabdruck“ in OT-Umgebungen vergrößert.

Joes Fazit: “Die Probleme, die beim Ransomware-Angriff auf die Colonial Pipeline auftraten, sind nicht nur bei Pipelines oder anderen kritischen Infrastrukturen zu beobachten, da durch die IT/OT-Konvergenz kritische Betriebsdaten in die IT verlagert werden, ohne dass eine angemessene Kontrolle oder Transparenz gegeben ist. Durch das Hacken von IP-Netzwerken besteht die Notwendigkeit, betriebliche Veränderungen unabhängig vom OT-Netzwerk zu erkennen.“

Quellen:

https://www.controlglobal.com/blogs/unfettered/the-colonial-pipeline-cyberattack-did-itot-convergence-contribute-to-the-attack/

https://www.bloomberg.com/news/articles/2021-05-08/u-s-s-biggest-gasoline-and-pipeline-halted-after-cyberattack 

Cybercrime 2020

BKA veröffentlicht Bundeslagebild

Mit dem Bundeslagebild Cybercrime 2020 informiert das Bundeskriminalamt über die wichtigsten polizeilichen Erkenntnisse im Bereich Cybercrime. Im vergangenen Jahr haben die Bedrohungen durch Cyberangriffe in Deutschland weiter zugenommen. Ein Treiber: Die Corona-Pandemie, die die Digitalisierung zusätzlich beschleunigt und so weitere Gelegenheiten für Cyberkriminelle eröffnet hat.

Der Report zeigt, dass seit Q3 2020 vermehrt Unternehmen und öffentliche Einrichtungen angegriffen werden, die bei der Bekämpfung der Corona-Pandemie relevant sind. Die Impfstoffherstellung / -distribution und die damit gestiegene Relevanz ganzer Lieferketten erhöhen die Schwere von Cyberangriffen in diesem Bereich.

Besonders häufig seien 2020 Ransomware- und DDoS-Angriffe sowie der Diebstahl digitaler Identitäten registriert worden, heißt es vom BKA. Neue Trends der Cybercrime seien gegen Wirtschaftsunternehmen gerichtet und stellten für diese zunehmend eine existenzielle Bedrohung dar, so das BKA im Bundeslagebild.

Die Anzahl erfasster Cyberstraftaten sei in den letzten Jahren stetig angestiegen; so auch 2020 um 7,92 Prozent. 2020 seien 108.474 taten erfasst worden, 2019 noch 100.514. Die Aufklärungsquote liege mit 32,6 Prozent weiterhin auf niedrigem Niveau.

Quelle: BKA – Meldungen – BKA veröffentlicht das Bundeslagebild Cybercrime 2020

Doppelte Erpressungsstrategie

Marktplätze für Datenlecks wollen Erpressungswirtschaft übernehmen

Cyberkriminelle machen sich die Erpressung durch Datendiebstahl zu eigen, indem sie Dark-Web-Marktplätze schaffen, die ausschließlich zum Verkauf gestohlener Daten existieren.

Dark-Web-Marktplätze für illegale Waren sind zwar nicht neu und wurden in der Vergangenheit auch schon für den Verkauf gestohlener Daten genutzt, aber sie wurden nicht ausschließlich für die Erpressung durch Datendiebstahl entwickelt.

Die Ransomware-Gruppe Maze revolutionierte 2019 die Ransomware-Operationen, indem sie eine doppelte Erpressungsstrategie anwandte. Über Ransomware-Datenleckseiten warnte Maze seine Opfer, dass sie gestohlene Daten öffentlich veröffentlichen werden, wenn die Opfer kein Lösegeld zahlen würden.

Andere Banden haben diese Erpressungstaktik schnell übernommen.

Einige Akteure haben wohl gegenüber BleepingComputer geäußert, dass die Praxis, Daten zu stehlen und mit deren Veröffentlichung zu drohen, oft mehr Lösegeldzahlungen generiert als der Verlust der verschlüsselten Dateien.

Bleepingcomputer habe erst kürzlich zwei neue Marktplätze namens Marketo und File Leaks identifiziert, die geschaffen wurden, um Daten an andere Bedrohungsakteure oder zurück an das Opfer selbst zu verkaufen. Darüber hinaus gibt es einen Marktplatz namens „Dark Leak Market“, der wohl im Jahr 2019 erstellt wurde.

Quelle: Data leak marketplaces aim to take over the extortion economy (ampproject.org)

Sie denken über OT- und IoT-Sicherheit nach? CyberCompare hat geprüfte Anbieter im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote. Sprechen Sie uns an (Mail an uns) oder testen Sie Ihr Cyberrisikoprofil mit unserer Diagnostik.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.