Was man zur Pipeline-Attacke weiss

10. Mai 2021 um 11:35
image

Eine wichtige Öl-Pipeline der USA ist wegen Ransomware ausser Betrieb. Medien und Security-Firmen recherchieren Hintergründe.

Eine der grössten Ölpipelines der USA, Colonial Pipeline, wurde durch einen Cyber-Angriff stillgelegt. Der Angriff wurde am Freitag, 7. Mai entdeckt, wie das Unternehmen mitteilte. Es handle sich um eine Ransomware-Attacke.
Man habe nach Bekanntwerden des Angriffs bestimmte Systeme offline genommen, um die Bedrohung einzudämmen. Dies führte dazu, dass man den gesamten Pipeline-Betrieb vorübergehend gestoppt habe, schreibt Colonial.
Colonial Pipeline habe die Strafverfolgungsbehörden informiert und ein externes Cybersecurity-Unternehmen herangezogen. Dabei handle es sich um das Fireeye-Unternehmen Mandiant, so Quellen von 'Bloomberg'.
'Reuters' schreibt, es handle sich um den bislang schwerwiegendsten Cyber-Angriff auf kritische Infrastruktur in den USA. Colonial Pipeline transportiert nach Unternehmensangaben täglich 2,5 Millionen Barrel Öl zwischen Houston, Texas, und dem New Yorker Hafen, was 45% des gesamten Kraftstoffbedarfs an der Ostküste der USA entspricht.

Ransomware-Bande Darkside verdächtigt

Detaillierte Informationen zum Angriff gibt Colonial Pipeline nicht bekannt. Somit bleibt derzeit offen, welche Teile der IT-Infrastruktur betroffen sind.
Auch wurde nicht bekannt gegeben, wer hinter dem Angriff steckt. Verschiedenen Quellen von 'Reuters' und 'Bloomberg' zufolge, gehört die Gruppe Darkside zu den Verdächtigen. Demnach wurden Daten aus dem Unternehmen gestohlen, wahrscheinlich zu Erpressungszwecken.
'Bloomberg' schreibt, die Angreifer hätten am 6. Mai innert zwei Stunden fast 100 GB an Daten absaugen können.

Sind es "Robin-Hood-Hacker"?

Die Ransomware-Bande Darkside gehört laut Kaspersky zu jenen Gruppen, die das Ransomware-Business professionalisiert haben. "Wir sollten diese Gruppen nicht unterschätzen. Viele von ihnen verfügen mittlerweile über Helpdesks, technischen Support, Lohnabrechnungen und Subunternehmer", sagt Marty Edwards, VP of OT Security bei Tenable in einem Statement.
Darkside verschlüsselt laut Kaspersky nicht nur die Daten des angegriffenen Unternehmens, sondern droht auch mit einer Veröffentlichung. Die Bande behauptet von sich keine Krankenhäuser, Bildungsinstitutionen oder Behörden anzugreifen und einen Teil ihrer Einnahmen an wohltätige Zwecke zu spenden.
Im Falle von Colonial ist nicht bekannt, wie hoch die Lösegeldforderung ist. Darkside sei bekannt dafür, so viel "Geld aus einem Unternehmen zu quetschen", wie irgendwie möglich, so die Quellen von 'Reuters'.

Erste kleinere Leitungen sind betriebsbereit

Bei Colonial Pipeline arbeite man an einem Plan für den "System-Neustart", schreibt das Unternehmen in einem Update am Abend des gestrigen 9. Mai. Während die Hauptleitungen weiterhin offline seien, seien einige kleinere Seitenleitungen betriebsbereit. Man sei dabei, den Service für weitere Seitenleitungen wiederherzustellen.
Man werde das gesamte System erst dann in Betrieb nehmen, "wenn wir glauben, dass es sicher ist, dies zu tun, und in voller Übereinstimmung mit der Genehmigung aller Bundesvorschriften", so Colonial Pipeline.

Notstand ausgerufen

Weil die wichtige Pipeline ausser Betrieb ist, wurde in den USA ein regionaler Notstand ausgerufen. Dies lockert die Vorschriften für Fahrer, die Benzin, Diesel, Kerosin und andere raffinierte Erdölprodukte transportieren. Dadurch können sie beispielsweise zusätzliche Arbeitsstunden leisten.
Damit könne aber nicht die Kapazität der Pipeline erreicht werden, erklärt ein Experte gegenüber der 'BBC'. Eine Menge Treibstoff sei nun in Texas gestrandet. "Wenn sie das nicht bis Dienstag (11. Mai) in Ordnung bringen, haben sie grosse Probleme", so der Ölmarktanalyst Gaurav Sharma. 

Loading

Mehr erfahren

Mehr zum Thema

image

Noch mehr Daten von Dell gestohlen

Dell ist von einem grossen Data Breach betroffen. Jetzt behauptet der verantwortliche Hacker, auch noch ein anderes System geknackt zu haben.

publiziert am 15.5.2024
image

Sicherheitsbehörden warnen eindringlich vor Ransomware-Bande Black Basta

Black Basta hat sich auch in der Schweiz zu zahlreichen Angriffen bekannt. Ein neues Advisory von US-Behörden enthält Details zum Vorgehen der Cyberkriminellen.

publiziert am 13.5.2024 1
image

Europol bestätigt Angriff auf sein Webportal

Ein Angreifer behauptet, Dokumente und sensible Informationen erbeutet zu haben. Laut der Behörde sind Kernsysteme nicht betroffen und keine operativen Daten abhandengekommen.

publiziert am 13.5.2024
image

Vor 24 Jahren: Ich liebe dich!

Der Loveletter-Virus richtete mehr Schaden an, als je ein Schädling zuvor.

publiziert am 10.5.2024