Update: Lösegeld von Colonial Pipeline landet beim FBI – zumindest teilweise

Update vom 8.6.2021: Nachdem Colonial Pipeline im Mai den Hackern nachgegeben und ein Lösegeld bezahlt hat, konnten US-amerikanische Sicherheitsbehörden zumindest einen Teil davon wieder sicherstellen. Wie "Heise" berichtet, stellte das FBI 63,7 der 75 vom Pipelinebetreiber bezahlten Bitcoin sicher. Demnach seien die Bitcoin-Zahlungen nachverfolgbar gewesen, und nach einigem Hin und Her seien die 63,7 Bitcoin auf einem Wallet gelandet, dessen Schlüssel das FBI besitze.

Für Colonial Pipeline bedeutet dies jedoch trotzdem einen herben Verlust, zumal der Bitcoin in den letzten Wochen deutlich an Wert verlor. Umgerechnet entspricht die vom FBI beschlagnahmte Summe 2,3 Millionen US-Dollar, oder gut 53 Prozent des im Mai bezahlten Betrages.

Update vom 17. Mai 2021: Colonial Pipeline bezahlt 5 Millionen US-Dollar Lösegeld

Die texanische Öl-Pipeline-Betreiberin Colonial Pipeline hat offenbar 5 Millionen US-Dollar Lösegeld an das Hackerkollektiv Darkside bezahlt, wie Bloomberg.com schreibt. Noch wenige Tage davor hatte Colonial Pipeline angekündigt, auf derartige Forderungen im Gegenzug für die Wiederherstellung seiner Pipeline nicht eingehen zu wollen.

Laut Bloomberg.com bezahlte Colonial Pipeline das Lösegeld in schwer nachverfolgbarer Kryptowährung, nur wenige Stunden nach dem Ransomware-Angriff. Wie es bei Bloomberg.com weiter heisst, steht das Unternehmen unter massivem Druck durch die Konkurrenz.

Die Täter stellten demnach Colonial Pipeline nach Eingang der Zahlung die nötigen Mittel zur Verfügung, um ihr Computer-Netzwerk selbst wiederherzustellen. Doch das Unternehmen habe sich parallel auf eigene Tools zur Wiederherstellung des Systems verlassen, da dasjenige der Hacker langsam gewesen sei, so Bloomberg.com weiter. Laut einem Repräsentaten von Colonial Pipeline habe das Unternehmen seine Arbeit am vergangenen Mittwoch um 17 Uhr lokaler Zeit wieder aufnehmen können. Weitere Angaben machte er nicht.

Darkside scheinbar weitgehend eingeschränkt

Das Hacker-Netzwerk Darkside soll laut Bleeping Computer grösstenteils ausser Betrieb sein. Die Hacker hätten den Zugang zu ihren Servern verloren, die Krypto-Geldbeträge seien in ein unbekanntes Wallet transferiert worden. Das teilt laut Bleeping Computer das Netzwerk UNKN in einem Exploit-Hacking-Forum mit, das in der Öffentlichkeit als Rivale von REvil auftritt.

In seinem Post teilte UNKN laut Bleeping Computer eine Nachricht, die von Darkside stammen und erklären soll, dass die Hacker Zugang zu ihren Daten und Netzwerken verloren hätten, nachdem die US-Regierung Massnahmen zur Strafverfolgung umgesetzt habe.

Bereits seit vergangenen Donnerstag hätten laut Bleeping Computer Journalisten festgestellt, dass die Data-Leak-Seite von Darkside nicht mehr zugänglich sei. Doch ein Payment-Server von Darkside sei weiter funktionsfähig. Das Netzwerk schickte gemäss Bleeping Computer ausserdem seinen Verbündeten eine Nachricht, wonach Darkside entschied, auf Druck der Regierung sein Netzwerk zu schliessen, aber seinen Tochtergesellschaften ermöglichte, Aktivitäten weiterzuführen.

Toshiba ebenfalls von Ransomware-Angriff betroffen

Nun ist laut Reuters auch eine Einheit des internationalen Technologie-Konzerns Toshiba Opfer eines Cyberangriff durch Darkside geworden. Demnach ist aber nur ein Bruchteil der Daten betroffen.

Laut Takashi Yoshikawa, Senior Malware Analyst bei Mitsui Bussan Secure Directions, versuchen rund 30 Gruppen innerhalb von Darkside, Unternehmen zu hacken. Nun sei es ihnen bei Toshiba gelungen.

Das Unternehmen sei durch die Pandemie und das Homeoffice anfälliger für solche Angriffe geworden, so Yoshikawa weiter. 740 Gigabyte an persönlichen Daten und Passwörtern seien betroffen.

Originalmeldung vom 10. Mai 2021: Seit dem 7. Mai läuft auf dem Pipeline-Netz der Firma Colonial fast gar nichts mehr. Das US-amerikanische Unternehmen wurde Opfer eines Ransomware-Angriffs, wie es in einer Mitteilung heisst. Um die Bedrohung einzudämmen, habe man bestimmte IT-Systeme vom Netz genommen und vorübergehend den gesamten Pipelinebetrieb eingestellt.

Das Ausmass dieser Abschaltung ist gewaltig. Gemäss der "FAZ" betreibt Colonial gemessen am transportierten Volumen die wichtigste Pipeline der USA. Gemäss eigenen Angaben umfasst das Netz mehr als 8800 Kilometer an Leitungen, durch die täglich mehr als 70'000 Liter Treibstoff fliessen.

Inzwischen konnte Colonial den Betrieb einiger kleinerer Leitungen wieder aufnehmen, zitiert die "FAZ" aus der Unternehmensmitteilung. Wann aber die Hauptleitungen wieder ans Netz gehen, sei derzeit unklar. Die Regierung in Washington habe am Sonntag den regionalen Notstand ausgerufen, schreibt die Zeitung unter Berufung auf das US-amerikanische Transportministerium. Durch die regionale Notstandserklärung könne nun Treibstoff über die Strasse in die betroffenen Bundesstaaten transportiert werden, darunter Florida, Texas, New York, Washington und Pennsylvania.

(Source: Tommy van Kessel / Unsplash)

"Darkside" soll hinter dem Angriff stecken

Laut dem Nachrichtenportal "Reuters" soll die Hackergruppe "Darkside" hinter dem Angriff stecken. Ihr Ziel sei es, so viel Geld wie möglich von ihren Opfern zu erpressen, schreibt das Portal unter Berufung auf Cybersecurity-Experten.

Behörden und Experten warnen schon seit Jahren vor Cyberangriffen auf kritische Infrastrukturen. Im Februar gelang es einem Hacker, via Remotezugriff die Steuerung der Trinkwasserversorgung einer Kleinstadt Floridas zu manipulieren und die Zufuhr von Natriumhydroxid gefährlich zu erhöhen. Ein Mitarbeiter der Behörde machte die Änderung kurze Zeit später rückgängig.

Im Herbst 2019 wurde das Spital Wetzikon Opfer eines Angriffs durch die Malware Emotet. An den Swiss Cybersecurity Days 2020 legte spitaldirektor Matthias Spielmann dar, wie sein Unternehmen auf den Angriff reagierte.

An der diesjährigen Ausgabe der Fachveranstaltung zeigten Doris Fiala, Florian Schütz und weitere Vertreter vom Bund, wie sicher die Schweiz im Cyberraum ist.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.