Server abgeschaltet: Wer steckt hinter den Lösegeld-Hackern Darkside?

    Für eine Neuregistrierung ist kein realer Email-Account notwendig,
    ABER derzeit keine Registrierung möglich.

    • Server abgeschaltet: Wer steckt hinter den Lösegeld-Hackern Darkside?

      STERN Digital schrieb:

      Ein Pipeline-Betreiber in den USA und die irische Gesundheitsbehörde wurden innerhalb einer Woche wahrscheinlich mit Schadsoftware derselben mysteriösen Hacker-Gruppe angegriffen: Darkside. Offenbar wurde der Server nun abgeschaltet.

      Eine Woche nach dem Cyberangriff auf eine US-Pipeline ist die irische Gesundheitsbehörde Ziel einer ähnlichen Attacke geworden. "Es gibt einen bedeutenden Ransomware-Angriff auf die IT-Systeme", erklärte die Behörde nun auf Twitter. Beide Hackerattacken werden nach ersten Erkenntnissen internationalen Kriminellen angelastet. Das ist bisher über die Gruppe Darkside bekannt:

      • Eine relativ neue Gruppierung

      Darkside tauchte nach Angaben von Experten erstmals im August 2020 auf. Sie ist eine der immer zahlreicher werdenden Gruppen, die selbst nicht aktiv angreifen, sondern Erpresser-Software für andere Kriminelle bereitstellen - und dann einen Anteil am Lösegeld einstreichen. 

      Spezialisiert ist Darkside auf sogenannte Ransomware, der Name geht zurück auf das englische Wort "ransom" - also Lösegeld: Hacker versuchen per Schadprogramm, Computersysteme zu sperren oder zu verschlüsseln, und von den Nutzern Geld für die Freigabe der Daten zu erpressen.

      10: FBI macht Hackergruppe Darkside für Cyberangriff auf USPipeline verantwortlich - 1f8cda335f873098

      Die US-Bundespolizei FBI geht fest davon aus, dass Software von Darkside hinter dem Angriff auf die größte Pipeline in den USA vor einer Woche steckt. Und bei der Cyberattacke auf die irische Gesundheitsbehörde am Freitag wurde nach ersten Erkenntnissen ähnliche Ransomware wie bei dem Hackerangriff auf den US-Pipeline-Betreiber Colonial eingesetzt.

      • Doppelte Erpressung

      Experten gehen davon aus, dass das Team hinter Darkside aus sehr erfahrenen Hackern besteht. Die Software sei deutlich weiterentwickelt als bisherige Versionen von Erpressungs-Trojanern. "Darkside-Software nutzt die doppelte Erpressungs-Strategie: Die Angreifer verschlüsseln nicht nur die Daten des Nutzers. Sie ziehen vielmehr vorher noch alle Informationen ab und drohen mit deren Veröffentlichung, wenn das Lösegeld nicht gezahlt wird", erklären die Analysten von Cybereason, einer Firma, die Unternehmen gegen solche Angriffe schützen will.

      Doppelstrategie hebelt Vorsichtsmaßnahmen aus

      Durch diese Doppelstrategie wird laut Cybereason die bisher von vielen Unternehmen betriebene Vorsichtsmaßnahme ausgehebelt, die ihre Daten aus Angst vor Verschlüsselung oder Sperrung durch Hacker an einem anderen Ort nochmals in einem Backup aufbewahren. Indem Darkside-Software vor der Verschlüsselung der Daten diese abzieht, könnten die Angreifer nicht nur Geld für die Entsperrung verlangen, sondern auch mit der Veröffentlichung oder auch dem Verkauf der Informationen an Wettbewerber drohen.

      "Die Höhe von Darkside-Lösegeld liegt zwischen 200.000 und zwei Millionen Dollar", schätzte im Februar die nationale Behörde für Cybersicherheit in Frankreich (Ansii). Damit aber lag sie vermutlich noch zu tief: Laut Bloomberg zahlte allein Colonial rund fünf Millionen Dollar (4,1 Millionen Euro) Lösegeld, um den Angriff auf seine Pipeline zu beenden, der die Treibstoffversorgung in den USA an den Rand des Kollaps brachte.

      • Verbindungen zu Russland?

      In einer im Darknet - also dem den normalen Nutzern nicht zugänglichen Teil des Internets - veröffentlichten Erklärung betont Darkside, dass es "keine politische Agenda" und keine Verbindungen zu Regierungen habe. Einziges Ziel sei es, Geld zu machen. 

      Dabei wollen sich die Kriminellen offenbar noch einen humanen Anstrich geben: Es gehe nicht darum, durch Angriffe soziale Probleme zu schaffen, betonen sie: Deshalb würden nur Unternehmen angegriffen, die das Lösegeld garantiert aufbringen könnten.

      PAID Interview Matthew Earl Wirecard_14.55

      US-Ermittler vermuten, dass Darkside in Russland ansässig ist. Experten verweisen unter anderem darauf, dass bisher mit Darkside-Software offenbar nur westliche Unternehmen angegriffen wurden und keine russischen. 

      "Verantwortliche 'Akteure' in Russland"

      US-Präsident Joe Biden erklärte zuletzt, es gebe keine Beweise für eine Verantwortung der russischen Regierung an dem Angriff auf Colonial Pipeline. Wohl aber gebe es Hinweise, dass die verantwortlichen "Akteure" in Russland seien und die Schadsoftware von dort stamme.

      Moskau seinerseits wies alle Vorwürfe einer Beteiligung oder Rückendeckung für den Angriff zurück. Russland übe keine "bösartigen" Aktivitäten im Netz aus, erklärte die russische Botschaft in den USA.

      • Darkside-Server wohl abgeschaltet

      Der von der mutmaßlich verantwortlichen Hackergruppe genutzte Server ist offenbar von Unbekannten abgeschaltet worden. Die US-Sicherheitsfirma Recorded Future erklärte, der Betreiber des Darkside-Erpressungstrojaners habe in einem Post erklärt, den Zugang auf die Server verloren zu haben. Betroffen davon seien unter anderem der Blog der Gruppe und der Bezahl-Server. Auch sei durch Erpressung erbeutete Kryptowährung verlorengegangen.

      Quelle: stern.de/digital/technik/cyber…sfeed&utm_source=standard