Anzeige

Anzeige

Ransomware

Nachdem Ransomware eine der größten Pipelines der USA lahmlegte, entschuldigten sich die Hacker indirekt und letztlich verschwanden sie von der Bildfläche - die Hintergründe.

Anfang Mai wurde bekannt, dass eine der wichtigsten und größten Benzin-Pipelines der USA aufgrund einer Cyberattacke abgeschaltet werden musste. Eine Gruppierung namens Darkside hatte sich Zugang zum Netzwerk von Colonial, dem Betreiber der Pipeline, verschafft und zunächst etwa 100 Gigabyte an Daten gestohlen. Anschließend starteten die Kriminellen die Verschlüsselung aller über das infizierte Netzwerk erreichbaren Geräte.

Nach und nach wurden mehr Details bekannt. Die Rede war von einer Double Extortion, also einer zweifachen Erpressung. Zum einen forderten die Cyberkriminellen Geld für die Freigabe der verschlüsselten IT-Infrastruktur, zum anderen drohte Darkside mit der Veröffentlichung der gestohlenen Daten. Ein Vorgehen, das inzwischen häufiger von Cyberkriminellen gewählt wird und betroffene Unternehmen immer öfter in große Bedrängnis bringt. Doch im Falle der vom Netz genommenen Pipeline traf die Cyberattacke auch Bürgerinnen und Bürger, denn es kam zu Lieferengpässen und Benzinknappheit.

Auf ihrer eigenen Webseite im Darknet meldete sich Darkside dazu am 10. Mai 2021 zu Wort. Und zwar mit einer Aussage, die einmal mehr zeigt, wie professionell die Cybercrime-Branche inzwischen agiert:

„We are apolitical, we do not participate in geopolitics, do not need to tie us with a defined government and look for other our motives.
Our goal is to make money, and not creating problems for society.
From today we introduce moderation and check each company that our partners want to encrypt to avoid social consequences in the future.”

‍Übersetzt etwa:

„Wir sind unpolitisch, wir beteiligen uns nicht an Geopolitik, wir haben es nicht nötig, uns mit einer bestimmten Regierung zu verbinden und suchen uns keine anderen Motive.
Unser Ziel ist es, Geld zu machen und nicht Probleme für die Gesellschaft zu schaffen.
Ab heute führen wir eine Moderation ein und überprüfen jedes Unternehmen, das unsere Partner verschlüsseln wollen, um soziale Konsequenzen künftig zu vermeiden.“

Die Cyberkriminellen entschuldigen sich also indirekt dafür, dass ihre Ransomware in diesem Fall zum Nachteil der Gesellschaft eingesetzt wurde. Darkside geht es nach eigenen Angaben nicht um Politik, sondern nur um Geld. Doch zukünftig würden die potenziellen Opfer der Darkside-Kunden erst geprüft und dann verschlüsselt. Hier zeigt sich, dass auch das Cybercrime-Dienstleistungs-Business eine krude Form von Berufsehre haben kann. Gut für die Endverbraucher, die es nicht treffen soll, schlecht für Unternehmen, die von den Moderatoren freigegeben werden.

Schon im vergangenen Jahr hat die Gruppierung mit einer Spendenaktion für Aufsehen gesorgt. Damals meldete die BBC, Darkside habe einen Teil ihrer Einnahmen an eine gemeinnützige Organisation gespendet – auch das, vor dem Hintergrund des illegalen Geschäftsmodells, eher ungewöhnlich. Verbreiteter ist da schon die Haltung, bestimmte Unternehmen und Institutionen, wie beispielsweise Krankenhäuser, aus ethischen Gründen nicht anzugreifen. Wie die Vergangenheit gezeigt hat, gilt dieses Berufsethos, wenn man das so nennen kann, nicht flächendeckend.

Doch zurück zum aktuellen Fall: Inzwischen ist in mehreren US-Medien (u. a. Bloomberg, NBC) zu lesen, dass Colonial ein Lösegeld von etwa 5 Millionen Dollar gezahlt haben soll. Offiziell bestätigt wurde diese Zahlung nicht, da sich das Unternehmen damit unter Umständen selbst strafbar gemacht hat. So soll der Pipeline-Betreiber nach der Zahlung die Möglichkeit zur Entschlüsselung der Daten gehabt haben. Jedoch, so heißt es, sei dieser Vorgang so langsam gewesen, dass das Einspielen von Back-ups schneller gelaufen sei.

Vor dem Hintergrund, dass Colonial wohl zusätzlich mit der Veröffentlichung der gestohlenen Daten erpresst wurde, könnte eine Zahlung auch der Versuch sein, ein unangenehmes Datenleak zu verhindern.

Inzwischen ist bekannt geworden, dass Darkside sich zurückgezogen hat. Vermeldet hat dies ein Mitglied der Gruppe über einen russischen Telegram-Kanal. Im Wortlaut ist die Nachricht etwa bei Krebs on Security zu finden. Zu lesen ist hier auch, dass gezahlte Gelder an einen unbekannten Empfänger umgebucht worden seien, nur Stunden vor Abschaltung der Server. Für Unternehmen, die aktuell von der Ransomware betroffen sind und nun das Lösegeld nicht mehr zahlen können, sollen nun die Entschlüsselungs-Tools frei zugänglich gemacht werden, so die Ankündigung auf Telegram.

Die Hackergruppe hat wohl die Kontrolle über die von ihnen genutzten Server verloren. Der Hintergrund ist noch unklar. So kann durchaus ein Cyberangriff der USA der Grund für den (un)freiwilligen Rückzug sein. Denn nur einen Tag zuvor hatte US-Präsident Joe Biden einen Gegenschlag angekündigt.

www.8com.de
 


Artikel zu diesem Thema

Ransomware
Mai 18, 2021

Lehren aus dem Ransomware-Angriff auf den Pipelinebetreiber Colonial

Die Folgen der Ransomware-Attacke auf den größten US-Pipelinebetreiber Colonial sind noch…
Hell erleuchtete Straße bei Nacht
Mai 03, 2021

Darknet - Licht im Dunkeln

Das Darknet ruft bei den meisten Menschen bedrohliche Assoziationen hervor. Für Andere…
Feb 22, 2021

Über die Rolle Internet-basierter Systeme bei der Double Extortion Ransomware

In der zweiten Jahreshälfte konnten Sicherheitsforscher weltweit einen deutlichen Anstieg…

Weitere Artikel

Hacker

Plan B der Hacker: Nach dem Angriff ist vor dem Angriff

In den vergangenen Wochen erbeuteten Cyberkriminelle in den aufsehenerregendsten Hackerattacken der vergangenen Jahre mehrere Millionen Dollar.
Social Engineering

Social Engineering-Angriff? Erst Informationen sammeln, dann losschlagen!

Lassen sich Mitarbeitende eines Unternehmens so manipulieren, dass sie Informationen preisgeben, schädliche Links anklicken oder infizierte Anhänge öffnen? Ja, meinen die IT-Sicherheitsexperten der PSW GROUP.
Trojaner

Trojanische Pferde in der Klinik-IT

Cyberangriffe auf die heimische Gesundheits-Infrastruktur haben in den letzten Monaten massiv zugenommen – die Einfallstore für Hacker sind dabei vielfältig.
EM 2021

Cyberbedrohungen der EM 2021: COVID-19 als neuer Spieler

Dass internationale Veranstaltungen ideale Rahmenbedingungen für Cyberkriminelle bieten, ist nicht neu. Die Fußball-Europameisterschaft 2021 könnte jedoch in dieser Hinsicht alles Bisherige übertreffen.
Gefahr

Neue APT-Gruppe nimmt gezielt Diplomaten ins Visier

ESET-Forscher haben eine neue APT-Gruppe namens BackdoorDiplomacy entdeckt. Die Hacker haben es vor allem auf Außenministerien im Nahen Osten und in Afrika abgesehen.
Hacker

Angriffe auf KRITIS - Ändern Hacker ihre Strategie?

Cyberkriminelle nehmen immer häufiger kritische Infrastrukturen ins Visier und richten damit weltweite Schäden an. Sind die Angriffe auf JBS und Colonial Pipeline Zeichen für einen Strategiewechsel?

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.