Darkside taucht aus den Schatten auf ⋆ Nürnberger Blatt

Hacker / Cyber-Angriff

Ein Pipeline-Betreiber in den USA und die irische Gesundheitsbehörde: Eigentlich haben diese beiden nichts gemeinsam – außer dass sie möglicherweise innerhalb einer Woche mit Malware derselben mysteriösen Hacker-Gruppe angegriffen wurden. Was ist bisher über die Gruppe Darkside bekannt:

Eine relativ neue Gruppierung

Laut Experten erschien Darkside erstmals im August 2020. Es ist eine der wachsenden Zahlen von Gruppen, die sich nicht aktiv selbst angreifen, sondern Erpressungssoftware für andere Kriminelle bereitstellen – und dann einen Teil des Lösegelds sammeln.

Darkside ist auf sogenannte Ransomware spezialisiert. Der Name geht auf das englische Wort „Ransom“ zurück – dh Lösegeld: Hacker verwenden Malware, um Computersysteme zu sperren oder zu verschlüsseln und um Geld von Benutzern für die Freigabe der Daten zu erpressen.

Das FBI der US-Bundespolizei ist der festen Überzeugung, dass die Darkside-Software vor einer Woche hinter dem Angriff auf die größte Pipeline der USA steckt. Und nach ersten Erkenntnissen wurde beim Cyber-Angriff auf die irische Gesundheitsbehörde am Freitag eine ähnliche Ransomware eingesetzt wie beim Hacker-Angriff auf den US-Pipeline-Betreiber Colonial.

Doppelte Erpressung

Experten gehen davon aus, dass das Team hinter Darkside aus sehr erfahrenen Hackern besteht. Die Software ist viel weiter fortgeschritten als frühere Versionen von Erpressungstrojanern. „Die Darkside-Software verwendet eine doppelte Erpressungsstrategie: Die Angreifer verschlüsseln nicht nur die Daten des Benutzers. Vielmehr entfernen sie alle Informationen im Voraus und drohen, sie zu veröffentlichen, wenn das Lösegeld nicht bezahlt wird “, erklären die Analysten von Cybereason, einem Unternehmen, das Unternehmen vor solchen Angriffen schützen möchte.

Laut Cybereason untergräbt diese Doppelstrategie die Vorsichtsmaßnahmen, die zuvor von vielen Unternehmen getroffen wurden, die ihre Daten aus Angst vor Verschlüsselung oder Blockierung durch Hacker in einem Backup an einem anderen Ort aufbewahren. Durch das Entfernen der Daten aus der Darkside-Software vor dem Verschlüsseln konnten die Angreifer nicht nur Geld für die Entsperrung verlangen, sondern auch drohen, die Informationen zu veröffentlichen oder an Wettbewerber zu verkaufen.

“Das Lösegeld für die dunkle Seite liegt zwischen 200.000 und zwei Millionen Dollar”, schätzte die nationale Cybersicherheitsbehörde in Frankreich (Ansii) im Februar. Aber das war wahrscheinlich immer noch zu niedrig: Laut Bloomberg zahlte Colonial allein rund fünf Millionen Dollar (4,1 Millionen Euro) Lösegeld, um den Angriff auf seine Pipeline zu beenden, der die Treibstoffversorgung in den USA an den Rand des Zusammenbruchs brachte.

Verbindungen nach Russland?

In einer im Darknet veröffentlichten Erklärung – dem Teil des Internets, der für normale Benutzer nicht zugänglich ist – betont Darkside, dass es “keine politische Agenda” und keine Verbindungen zu Regierungen gibt. Das einzige Ziel ist es, Geld zu verdienen.

Die Kriminellen wollen sich offenbar menschlich präsentieren: Es geht nicht darum, durch Angriffe soziale Probleme zu schaffen, sie betonen: Daher werden nur Unternehmen angegriffen, die garantieren können, dass das Lösegeld erhöht wird.

US-Ermittler vermuten, dass Darkside in Russland ansässig ist. Experten weisen unter anderem darauf hin, dass bisher offenbar nur westliche Unternehmen mit Darkside-Software angegriffen wurden und keine russischen.

US-Präsident Joe Biden sagte am Montag, es gebe keine Beweise dafür, dass die russische Regierung für den Angriff auf die Colonial Pipeline verantwortlich sei. Es gibt jedoch Hinweise darauf, dass sich die verantwortlichen „Akteure“ in Russland befinden und dass die Malware von dort stammt.

Moskau bestritt seinerseits jegliche Vorwürfe der Beteiligung oder Unterstützung des Angriffs. Russland betreibt keine “böswilligen” Aktivitäten im Internet, sagte die russische Botschaft in den USA.

Leave a Comment