Colonial Pipeline-Angriff: Russische DarkSide-Hacker stylen sich als Robin Hood

Es wird angenommen, dass DarkSide seinen Sitz außerhalb Russlands hat und sich aus erfahrenen Cyberkriminellen zusammensetzt. In einer Erklärung (oben) nach dem Kolonialangriff bestritt die Gruppe, politisch zu sein, und sagte, ihr einziges Ziel sei es, “Geld zu verdienen”.

Der Cyberextortion-Angriff, der die Abschaltung von Amerikas größter Kraftstoffpipeline erzwang, wurde von einer kriminellen Bande namens DarkSide durchgeführt, von der angenommen wird, dass sie von Russland aus stationiert ist, wo sie freie Hand haben, um westliche Länder anzugreifen.

DarkSide besteht aus erfahrenen Cyberkriminellen, besteht jedoch darauf, dass dies nicht politisch ist. Wie viele andere scheint DarkSide jedoch russisch-, kasachisch- und ukrainischsprachige Unternehmen zu verschonen, was auf eine Verbindung zu Russland hindeutet.

Ransomware-Schläger werden heute von russischsprachigen Cyberkriminellen dominiert, die laut US-Beamten von russischen Geheimdiensten abgeschirmt und manchmal eingesetzt werden.

Cyber-Experten sagen, dass Russland Hackern, die auf die USA und europäische Länder abzielen, freien Lauf lässt.

DarkSide hat bereits gerühmt, dass es von 80 Unternehmen in den USA und in Europa Lösegeld in Millionenhöhe erhalten hat.

“Ob sie für den Staat arbeiten oder nicht, spielt angesichts der offensichtlichen Politik Russlands, Cyberkriminalität zu hegen und zu tolerieren, zunehmend eine Rolle”, sagte Dmitri Alperovitch, Mitbegründer von CrowdStrike, gegenüber NBC News über die jüngsten Hackerangriffe von DarkSide.

Das FBI bestätigte am Montag, dass DarkSide für den Angriff auf die Colonial Pipeline verantwortlich ist, bei dem Experten befürchten, dass es zu weit verbreiteten Gasknappheiten und erheblichen Preiserhöhungen kommt.

Die Agentur verfolgt die Gruppe seit mindestens Oktober und untersucht, ob sie Verbindungen zur russischen Regierung hat.

Die USA haben im vergangenen Monat Sanktionen gegen Russland wegen bösartiger Aktivitäten einschließlich staatlicher Hacker verhängt. Das Finanzministerium sagte, der russische Geheimdienst habe Ransomware-Angriffe ermöglicht, indem er kriminelle Hacker kultiviert, kooptiert und ihnen einen sicheren Hafen gegeben habe.

Das FBI bestätigte am Montag, dass DarkSide für den Angriff auf die Colonial Pipeline (oben) verantwortlich ist, bei dem Experten Gasmangel und erhebliche Preiserhöhungen befürchten

Das FBI bestätigte am Montag, dass DarkSide für den Angriff auf die Colonial Pipeline (oben) verantwortlich ist, bei dem Experten Gasmangel und erhebliche Preiserhöhungen befürchten

Die Gruppe hat Spendenquittungen veröffentlicht, die sie nach eigenen Angaben nach Lösegeldangriffen an US-Wohltätigkeitsorganisationen geleistet hat

Die Gruppe hat Spendenquittungen veröffentlicht, die sie nach eigenen Angaben nach Lösegeldangriffen an US-Wohltätigkeitsorganisationen geleistet hat

Die Hacker pflegen ein Robin Hood-Image, bei dem sie von Unternehmen stehlen und der Wohltätigkeit einen Schnitt geben.  Abgebildet ist eine Quittung, von der die Gruppe behauptet, dass sie einen Teil ihres Lösegelds für wohltätige Zwecke spendet

Die Hacker pflegen ein Robin Hood-Image, bei dem sie von Unternehmen stehlen und der Wohltätigkeit einen Schnitt geben. Abgebildet ist eine Quittung, von der die Gruppe behauptet, dass sie einen Teil ihres Lösegelds für wohltätige Zwecke spendet

DarkSide, das ein Robin Hood-Image des Diebstahls von Unternehmen und der Kürzung von Wohltätigkeitsorganisationen pflegt, sagte in einer im dunklen Internet veröffentlichten Erklärung, dass ihr einziges Ziel darin bestehe, “Geld zu verdienen” und keine Probleme für die Gesellschaft zu schaffen.

“Wir sind unpolitisch, wir beteiligen uns nicht an der Geopolitik”, heißt es in der Erklärung. “Unser Ziel ist es, Geld zu verdienen und keine Probleme für die Gesellschaft zu schaffen.”

DarkSide schien darauf hinzudeuten, dass ein Partner für den Angriff verantwortlich war.

“Ab heute führen wir Moderation ein und überprüfen jedes Unternehmen, das unsere Partner verschlüsseln möchten, um künftige soziale Konsequenzen zu vermeiden”, heißt es in der Erklärung.

Colonial mit Sitz in Atlanta, Georgia, hat noch nicht gesagt, ob es bezahlt hat oder mit den Hackern ein Lösegeld aushandelt.

Obwohl DarkSide erst im August letzten Jahres aufgetaucht ist, scheint es laut Cybersicherheitsexperten sehr gut organisiert zu sein.

Diejenigen, die DarkSide verfolgt haben, sagten, es scheint sich aus erfahrenen Cyberkriminellen zusammenzusetzen, die sich darauf konzentrieren, so viel Geld wie möglich aus ihren Zielen herauszuholen.

“Sie sind sehr neu, aber sehr gut organisiert”, sagte Lior Div, der Geschäftsführer der in Boston ansässigen Sicherheitsfirma Cybereason.

“Es sieht so aus, als hätte jemand, der dort war, das getan.”

DarkSide gehört zu einer Reihe von zunehmend professionalisierten Gruppen digitaler Erpresser mit einer Mailingliste, einem Pressezentrum und einer Opfer-Hotline, um Lösegeldzahlungen zu erleichtern.

Experten sagen, dass DarkSide wahrscheinlich aus Ransomware-Veteranen bestand und Mitte letzten Jahres aus dem Nichts kam und sofort eine digitale Crimewave auslöste.

“Es ist, als hätte jemand den Schalter eingeschaltet”, sagte Div, der feststellte, dass mehr als 10 Kunden seines Unternehmens in den letzten Monaten Einbruchsversuche der Gruppe abgewehrt haben.

DarkSide findet Schwachstellen in einem Netzwerk, erhält Zugriff auf Administratorkonten und sammelt dann Daten vom Server des Opfers und verschlüsselt sie.  Die Software hinterlässt eine Lösegeldnotiz-Textdatei mit Anforderungen (siehe Abbildung oben).

DarkSide findet Schwachstellen in einem Netzwerk, erhält Zugriff auf Administratorkonten und sammelt dann Daten vom Server des Opfers und verschlüsselt sie. Die Software hinterlässt eine Lösegeldnotiz-Textdatei mit Anforderungen (siehe Abbildung oben).

Die Website von DarkSide im dunklen Internet weist auf die Verbrechen ihrer Hacker in der Vergangenheit hin, mit Behauptungen, sie hätten zuvor Millionen durch Erpressung gemacht, und nur weil ihre Software neu war, heißt das nicht, dass wir keine Erfahrung haben und aus dem Nichts kamen.

Die Website bietet auch eine Galerie im Hall of Shame-Stil mit durchgesickerten Daten von Opfern, die nicht bezahlt haben.

Es wirbt für gestohlene Dokumente von mehr als 80 Unternehmen in den USA und in Europa.

Eines der jüngsten Opfer auf seiner Liste war der in Georgia ansässige Teppichhersteller Dixie Group Inc, der im vergangenen Monat öffentlich einen digitalen Shakedown-Versuch bekannt gab, der „Teile seiner Informationstechnologiesysteme“ betraf.

DarkSide war zuvor auf Enterprise-Mietwagen, das kanadische Immobilienunternehmen Brookfield Residential und eine Office Depot-Tochter namens CompuCom ausgerichtet.

Die Gruppe hat einen angeblichen Verhaltenskodex, der die Gruppe als zuverlässige, wenn auch rücksichtslose Geschäftspartner auszeichnen soll.

Sie haben öffentlich erklärt, dass sie es vorziehen, Krankenhäuser, Schulen, gemeinnützige Organisationen und Regierungen nicht anzugreifen.

Sie streben stattdessen nach großen Organisationen, die es sich leisten können, große Lösegeldzahlungen zu leisten, und behaupten, einen Teil ihrer Einnahmen für wohltätige Zwecke zu spenden.

“Vor jedem Angriff analysieren wir Ihre Buchhaltung sorgfältig und ermitteln anhand Ihres Nettoeinkommens, wie viel Sie bezahlen können”, sagte die Gruppe zuvor.

Die Gruppe hat Spendenquittungen veröffentlicht, die sie nach eigenen Angaben nach Lösegeldangriffen an US-Wohltätigkeitsorganisationen geleistet hat.

Laut der Datensicherheitsfirma Arete findet DarkSide Schwachstellen in einem Netzwerk, erhält Zugriff auf Administratorkonten und sammelt dann Daten vom Server des Opfers und verschlüsselt sie.

Die Software hinterlässt eine Lösegeldnotiz-Textdatei mit Anforderungen.

Quellen berichteten Bloomberg News, dass Hacker am Donnerstag fast 100 Gigabyte Daten aus dem Netzwerk von Colonial gestohlen hätten, bevor sie ein Lösegeld forderten.  Colonial, mit Sitz in Georgia, hat noch nicht gesagt, ob es bezahlt hat oder mit den Hackern ein Lösegeld aushandelt

Quellen berichteten Bloomberg News, dass Hacker am Donnerstag fast 100 Gigabyte Daten aus dem Netzwerk von Colonial gestohlen hätten, bevor sie ein Lösegeld forderten. Colonial, mit Sitz in Georgia, hat noch nicht gesagt, ob es bezahlt hat oder mit den Hackern ein Lösegeld aushandelt

Der Angriff auf die Colonial Pipeline, die von Texas nach New Jersey führt und 45 Prozent der Kraftstoffversorgung der Ostküste transportiert, ist der größte Angriff auf die US-amerikanische Energieinfrastruktur in der Geschichte und hat in der gesamten Branche Schockwellen ausgelöst

Der Angriff auf die Colonial Pipeline, die von Texas nach New Jersey führt und 45 Prozent der Kraftstoffversorgung der Ostküste transportiert, ist der größte Angriff auf die US-amerikanische Energieinfrastruktur in der Geschichte und hat in der gesamten Branche Schockwellen ausgelöst

Das Lösegeld beträgt durchschnittlich mehr als 6,5 Millionen US-Dollar, und die Angriffe führen zu durchschnittlich fünf Tagen Ausfallzeit für das Unternehmen.

Manchmal sind gestohlene Daten für Ransomware-Kriminelle wertvoller als die Hebelwirkung, die sie durch die Verkrüppelung eines Netzwerks erzielen, da einige Opfer es ablehnen, vertrauliche Informationen von ihnen online zu speichern.

Die Lösegeldsoftware verschlüsselt die Daten der Opfer. In der Regel bieten Hacker dem Opfer dann einen Schlüssel als Gegenleistung für Kryptowährungszahlungen an, die Hunderttausende oder sogar Millionen Dollar kosten können.

Wenn sich das Opfer widersetzt, drohen Hacker, vertrauliche Daten zu verlieren, um den Druck zu erhöhen.

Laut einigen Experten handelt es sich bei DarkSides Code um Standard-Ransomware, aber Div sagte, dass sie sich durch die Geheimdienstarbeit auszeichnen, die sie zuvor gegen ihre Ziele ausgeführt haben.

Typischerweise “wissen sie, wer der Manager ist, sie wissen, mit wem sie sprechen, sie wissen, wo das Geld ist, sie wissen, wer der Entscheidungsträger ist”, sagte Div.

In diesem Zusammenhang sagte Div, dass das Ziel der Colonial Pipeline mit ihren potenziell massiven Folgen für die Amerikaner entlang der Ostküste eine Fehleinschätzung gewesen sein könnte.

“Es ist nicht gut für das Geschäft für sie, wenn die US-Regierung beteiligt wird, wenn das FBI beteiligt wird”, sagte er.

“Es ist das Letzte, was sie brauchen.”

Das FBI veröffentlichte am Montag eine Erklärung mit den Worten: „Das FBI bestätigt, dass die Darkside-Ransomware für den Kompromiss der Colonial Pipeline-Netzwerke verantwortlich ist. Wir arbeiten weiterhin mit dem Unternehmen und unseren Regierungspartnern an der Untersuchung. ‘

.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.