Kolonialer Angriff auf die Pipeline: Die Aufschlüsselung
Ransomware-Angriffe sind besonders fies, nicht nur, weil Geld gefordert wird, sondern auch, weil der Angreifer die Kontrolle über ein System übernimmt. Ransomware kann ein Computersystem unbrauchbar machen, indem sie den Zugriff sperrt oder Festplattendaten verschlüsselt und damit unzugänglich macht.
Dies kann sich auf jedes Unternehmen negativ auswirken, aber nichts ist vergleichbar mit dem Schaden, der entsteht, wenn Ransomware-Angriffe geschäftskritische Systeme treffen - wie beim Colonial Pipeline-Hack.
Der Ransomware-Angriff auf die Colonial Pipeline ist einer der jüngsten und aufsehenerregendsten Vorfälle im Bereich der Cybersicherheit, der öffentliche oder private Organisationen betrifft. Am erschreckendsten sind jedoch die Auswirkungen auf die Zukunft der digitalen Technologien.
Böswillige Akteure starteten einen Angriff auf die Colonial Pipeline mit einer sogenannten DarkSide-Ransomware. Sie verschafften sich erfolgreich Zugang zu den Systemen des Unternehmens, stahlen Daten und sperrten Terminals und Computer. Sie forderten ein Lösegeld für die Rückgabe der Daten und des Systemzugangs.
Die Colonial Pipeline willigte ein und zahlte ein Lösegeld von 5 Millionen Dollar in Bitcoin. Anschließend gab sie den Angriff öffentlich bekannt und schaltete im Interesse der Sicherheit die Systemserver und die Nutzung einiger ihrer Pipelines ab. Kurze Zeit später gab das Unternehmen zusätzlich bekannt, wie es den Neustart des Systems handhaben würde.
Etwa zu diesem Zeitpunkt schaltete sich das FBI ein und bestätigte, dass DarkSide Ransomware verwendet wurde. Das Unternehmen sprach auch über Strategien zur Schadensbegrenzung und gab später die Wiedererlangung von 2,3 Millionen Dollar in Bitcoin bekannt. Das gesamte Lösegeld wurde nicht wiedererlangt.
Was ist DarkSide Ransomware?
DarkSide mag zwar wie eine berüchtigte Hackergruppe klingen, ist aber eigentlich ein Ransomware-Paket oder -Programm. Ähnlich wie bei Software-as-a-Service handelt es sich bei DarkSide um Ransomware-as-a-Service. Wenn es von Hackern eingesetzt und verwendet wird, erhalten die RaaS-Entwickler einen Teil des Erlöses.
DarkSide-Akteure führen Angriffe durch und zielen auf Organisationen ab, um finanzielle Gewinne zu erzielen. Meistens verschaffen sie sich Zugang durch geschicktes Social Engineering oder Phishing, bei dem legitime Nutzer dazu gebracht werden, ihren Zugang zu teilen oder ihre Anmeldedaten preiszugeben.
Einige der ersten Aktivitäten der Gruppe lassen sich auf Daten zwischen August und November 2020 zurückverfolgen. Die Ransomware gibt es jedoch schon viel länger, nämlich seit 2019.
Interessanterweise folgt die DarkSide-Gruppe einem lockeren Moralkodex und weigert sich, Krankenhäuser und Schulen anzugreifen. Sie führen diese Angriffe auch zu kommerziellen und finanziellen Zwecken durch und sind nicht an ein bestimmtes Land oder eine bestimmte Region gebunden. In der Vergangenheit haben sie sogar versucht, Geld für wohltätige Zwecke zu spenden.
Was bedeutet das? Was können wir aus diesem Angriff lernen?
Zwar ist kein System völlig unverwundbar, und es wird immer Möglichkeiten geben, sich Zugang zu verschaffen, doch selbst die Einhaltung einiger grundlegender Cybersicherheitsprotokolle kann potenzielle Angriffe entschärfen und vereiteln. Die Verwendung sicherer Passwörter, das Löschen alter Konten, die Überwachung der Benutzerauthentifizierung und die Aktualisierung der Software sind nur einige der empfohlenen Strategien.
Wenn Sie von einem Ransomware-Angriff betroffen sind, sollten Sie das Lösegeld nicht bezahlen. Es gibt keine Garantien, dass die Hacker den Zugang zu den Systemen oder Daten zurückgeben. Das würde bedeuten, dass die Zahlung verpufft und keine Gegenleistung erbracht wird.
Backups von Daten und Systemen sind eine der besten Möglichkeiten, sich dagegen zu schützen. Die Daten können nach einem Angriff kompromittiert werden, aber die Unternehmen können den Zugang wiederherstellen, und es besteht keine Notwendigkeit, Lösegeldforderungen zu erfüllen.
Aufmerksame Personen kennen vielleicht den WannaCry-Ransomware-Angriff aus dem Jahr 2017, der Hunderttausende von Computern und Systemen kompromittierte, darunter auch die des National Health Service. Die Ransomware konnte nur deshalb so viel Schaden anrichten, weil die Software veraltet war. Wären die betroffenen Systeme aktualisiert und mit den richtigen Sicherheits-Patches ausgestattet worden, hätte es den weit verbreiteten Angriff nie gegeben.
Der Vorfall ähnelt dem Colonial Pipeline Hack, nur dass die Täter Phishing zu ihrem Vorteil nutzen konnten. Sie verschafften sich Zugang über ein virtuelles privates Netzwerkkonto, das nicht mehr in Gebrauch war und dessen Passwort bei einem viel früheren Einbruch kompromittiert wurde. Das Passwort wurde wahrscheinlich auch für andere Konten verwendet, und als das betroffene Konto nicht mehr in Betrieb war, dachte niemand daran, den Zugang zu sperren oder zu löschen. Das ist ein ungeheuerlicher Fehler, der definitiv hätte vermieden werden können.
Es zeigt, dass sie zwar etwas unberechenbar sind, aber dass hinter dem Wahnsinn eine Methode steckt.
Es ist an der Zeit, die Cybersicherheit ernst zu nehmen
Hoffentlich bedeutet das Ereignis, dass nicht nur Unternehmen aufmerksam werden, sondern auch Bundesbehörden und alle für die nationale Sicherheit und den digitalen Betrieb zuständigen Stellen. Mitarbeiter- und Personalschulungen zum Thema Cybersicherheit werden einen großen Beitrag dazu leisten, einige der weit verbreiteten Schwachstellen zu beseitigen.
Mit ein wenig Vorbeugung lässt sich der Schaden, der durch Ransomware-Angriffe entsteht, minimieren oder sogar ganz vermeiden.
Schlussfolgerung:
Cyberkriminelle nutzen Ransomware, um Unternehmen den Zugriff auf ihre wichtigen Geschäftsdaten zu verwehren und Lösegeld zu erpressen. Datenverschlüsselung schützt Daten, wo immer sie sich befinden. Die verschlüsselten Daten werden obsolet, da die Verschlüsselung es der Ransomware erschwert, sie zu erkennen und anzugreifen.
Eine gute Datensicherungs- und Wiederherstellungsstrategie und eine DRM-Lösung sind die Schlüsselfaktoren, wenn Unternehmen auf Ransomware-Angriffe reagieren wollen. Diese ermöglichen es Unternehmen, die während des Angriffs verschlüsselten Daten wiederherzustellen.
Da die Hacker drohen, die vertraulichen Daten des Unternehmens im Internet zu veröffentlichen, kann nur DRM dieses Datenleck verhindern, da vertrauliche Daten unabhängig von der Offenlegung geschützt sind.
SECUDE, ein Partner von SAP und Microsoft, erweitert die Microsoft Information Protection (MIP), um sensible SAP- und CAD/PLM-Daten auch in den Händen von nicht autorisierten Benutzern zu schützen.
Um mehr darüber zu erfahren, wie SECUDE Ihnen helfen kann, Ihre kritischen SAP- und CAD/PLM-Daten vor Ransomware-Angriffen zu schützen, schreiben Sie uns an contact@secude.com.