Anzeige

Ransomware

Nachdem Ransomware eine der größten Pipelines der USA lahmlegte, entschuldigten sich die Hacker indirekt und letztlich verschwanden sie von der Bildfläche - die Hintergründe.

Anfang Mai wurde bekannt, dass eine der wichtigsten und größten Benzin-Pipelines der USA aufgrund einer Cyberattacke abgeschaltet werden musste. Eine Gruppierung namens Darkside hatte sich Zugang zum Netzwerk von Colonial, dem Betreiber der Pipeline, verschafft und zunächst etwa 100 Gigabyte an Daten gestohlen. Anschließend starteten die Kriminellen die Verschlüsselung aller über das infizierte Netzwerk erreichbaren Geräte.

Nach und nach wurden mehr Details bekannt. Die Rede war von einer Double Extortion, also einer zweifachen Erpressung. Zum einen forderten die Cyberkriminellen Geld für die Freigabe der verschlüsselten IT-Infrastruktur, zum anderen drohte Darkside mit der Veröffentlichung der gestohlenen Daten. Ein Vorgehen, das inzwischen häufiger von Cyberkriminellen gewählt wird und betroffene Unternehmen immer öfter in große Bedrängnis bringt. Doch im Falle der vom Netz genommenen Pipeline traf die Cyberattacke auch Bürgerinnen und Bürger, denn es kam zu Lieferengpässen und Benzinknappheit.

Auf ihrer eigenen Webseite im Darknet meldete sich Darkside dazu am 10. Mai 2021 zu Wort. Und zwar mit einer Aussage, die einmal mehr zeigt, wie professionell die Cybercrime-Branche inzwischen agiert:

„We are apolitical, we do not participate in geopolitics, do not need to tie us with a defined government and look for other our motives.
Our goal is to make money, and not creating problems for society.
From today we introduce moderation and check each company that our partners want to encrypt to avoid social consequences in the future.”

‍Übersetzt etwa:

„Wir sind unpolitisch, wir beteiligen uns nicht an Geopolitik, wir haben es nicht nötig, uns mit einer bestimmten Regierung zu verbinden und suchen uns keine anderen Motive.
Unser Ziel ist es, Geld zu machen und nicht Probleme für die Gesellschaft zu schaffen.
Ab heute führen wir eine Moderation ein und überprüfen jedes Unternehmen, das unsere Partner verschlüsseln wollen, um soziale Konsequenzen künftig zu vermeiden.“

Die Cyberkriminellen entschuldigen sich also indirekt dafür, dass ihre Ransomware in diesem Fall zum Nachteil der Gesellschaft eingesetzt wurde. Darkside geht es nach eigenen Angaben nicht um Politik, sondern nur um Geld. Doch zukünftig würden die potenziellen Opfer der Darkside-Kunden erst geprüft und dann verschlüsselt. Hier zeigt sich, dass auch das Cybercrime-Dienstleistungs-Business eine krude Form von Berufsehre haben kann. Gut für die Endverbraucher, die es nicht treffen soll, schlecht für Unternehmen, die von den Moderatoren freigegeben werden.

Schon im vergangenen Jahr hat die Gruppierung mit einer Spendenaktion für Aufsehen gesorgt. Damals meldete die BBC, Darkside habe einen Teil ihrer Einnahmen an eine gemeinnützige Organisation gespendet – auch das, vor dem Hintergrund des illegalen Geschäftsmodells, eher ungewöhnlich. Verbreiteter ist da schon die Haltung, bestimmte Unternehmen und Institutionen, wie beispielsweise Krankenhäuser, aus ethischen Gründen nicht anzugreifen. Wie die Vergangenheit gezeigt hat, gilt dieses Berufsethos, wenn man das so nennen kann, nicht flächendeckend.

Doch zurück zum aktuellen Fall: Inzwischen ist in mehreren US-Medien (u. a. Bloomberg, NBC) zu lesen, dass Colonial ein Lösegeld von etwa 5 Millionen Dollar gezahlt haben soll. Offiziell bestätigt wurde diese Zahlung nicht, da sich das Unternehmen damit unter Umständen selbst strafbar gemacht hat. So soll der Pipeline-Betreiber nach der Zahlung die Möglichkeit zur Entschlüsselung der Daten gehabt haben. Jedoch, so heißt es, sei dieser Vorgang so langsam gewesen, dass das Einspielen von Back-ups schneller gelaufen sei.

Vor dem Hintergrund, dass Colonial wohl zusätzlich mit der Veröffentlichung der gestohlenen Daten erpresst wurde, könnte eine Zahlung auch der Versuch sein, ein unangenehmes Datenleak zu verhindern.

Inzwischen ist bekannt geworden, dass Darkside sich zurückgezogen hat. Vermeldet hat dies ein Mitglied der Gruppe über einen russischen Telegram-Kanal. Im Wortlaut ist die Nachricht etwa bei Krebs on Security zu finden. Zu lesen ist hier auch, dass gezahlte Gelder an einen unbekannten Empfänger umgebucht worden seien, nur Stunden vor Abschaltung der Server. Für Unternehmen, die aktuell von der Ransomware betroffen sind und nun das Lösegeld nicht mehr zahlen können, sollen nun die Entschlüsselungs-Tools frei zugänglich gemacht werden, so die Ankündigung auf Telegram.

Die Hackergruppe hat wohl die Kontrolle über die von ihnen genutzten Server verloren. Der Hintergrund ist noch unklar. So kann durchaus ein Cyberangriff der USA der Grund für den (un)freiwilligen Rückzug sein. Denn nur einen Tag zuvor hatte US-Präsident Joe Biden einen Gegenschlag angekündigt.

www.8com.de
 


Artikel zu diesem Thema

Ransomware
Mai 18, 2021

Lehren aus dem Ransomware-Angriff auf den Pipelinebetreiber Colonial

Die Folgen der Ransomware-Attacke auf den größten US-Pipelinebetreiber Colonial sind noch…
Hell erleuchtete Straße bei Nacht
Mai 03, 2021

Darknet - Licht im Dunkeln

Das Darknet ruft bei den meisten Menschen bedrohliche Assoziationen hervor. Für Andere…
Feb 22, 2021

Über die Rolle Internet-basierter Systeme bei der Double Extortion Ransomware

In der zweiten Jahreshälfte konnten Sicherheitsforscher weltweit einen deutlichen Anstieg…

Weitere Artikel

Cyberangriff

Cring-Ransomware nutzt uralte Version von Adobe ColdFusion aus

Vergessene, ungepatchte und veraltete Software bietet ein ideales Einstiegstor für Cyberkriminelle. So auch im aktuellen Fall einer Ransomware-Attacke, die eine 11 Jahre alte Software auf einem Server für sich ausnutzte.
Hacker

Hacker zielen verstärkt auf kritische Infrastrukturen

Kritische Infrastrukturen (KRITIS) sind für das reibungslose Funktionieren unserer Gesellschaft und Wirtschaft unerlässlich. Da diese Strukturen hochsensibel sind, stellen sie für Cyberkriminelle ein ganz besonderes Ziel dar und sie unternehmen große…
Ransomware

Die Ransomware-Krise braucht einen globalen Lösungsansatz

Ransomware hat sich mittlerweile zu einem globalen Problem entwickelt. Cyberkriminelle Gruppen operieren von Ländern aus, die ihnen einen sicheren Unterschlupf bieten und es ihnen ermöglichen, sogar raffinierteste Angriffe zu starten. Um eine Eskalation zu…
Facebook Hacker

Spionagekampagne gegen Kurden durch hinterhältige Facebook-Posts

ESET-Forscher haben eine mobile Spionagekampagne untersucht, die sich gezielt gegen Kurden richtet. Die Operation läuft mindestens seit März 2020 und verbreitet sich über spezielle Facebook-Profile. Hierüber werden zwei Android-Backdoors verteilt, die als 888…
Ransomware

Großteil der Unternehmen zweifelt an eigener Ransomware-Resilienz

Anhaltende Cyberbedrohungen und neue Technologien wie Cloud-native Anwendungen, Kubernetes-Container und Künstliche Intelligenz stellen Unternehmen weltweit bei der Datensicherung vor große Herausforderungen. Das zeigt der Dell Technologies 2021 Global Data…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.