DarkSide: RaaS-Attacke gegen Colonial Pipeline

Junge Ransomware-Familie DarkSide erstmals im August 2020 aufgetreten

[datensicherheit.de, 12.05.2021] Check Point Research (CPR), die „Threat Intelligence“-Abteilung der Check Point® Software Technologies Ltd., beobachtet nach eigenen Angaben „konstant die Bedrohungslandschaft“ und stellt fest, „dass Angriffe mit Ransomware stark zunehmen“ – über die vergangenen neun Monate hätten deren Sicherheitsexperten einen Anstieg der Angriffe pro Woche in den USA um etwa 300 Prozent verzeichnet. In der 18. Kalenderwoche 2021 wurde nun auch die Treibstoff-Pipeline des Betreibers Colonial im US-Staat Georgia Ziel eines Angriffs.

Foto: Check Point

Lotem Finkelsteen: Die Hacker schreckten vor wenig zurück …

DarkSide arbeitet über Ransomware-as-a-Service-Modell

Diese Pipeline transportiere täglich über 2,5 Millionen Barrel an Brennstoff und versorgte geschätzte 50 Millionen Menschen. Laut Erkenntnissen der US-Ermittlungsbehörde FBI soll die Ransomware „DarkSide“ bei diesem Angriff zum Einsatz gekommen sein. Diese junge Ransomware-Familie sei erstmals im August 2020 auf den Plan getreten – so zu finden auf der Website „ID-Ransomware“, einer Enzyklopädie für entsprechende Malware.
Es handele sich dabei um Ransomware-as-a-Service, also ein Schadprogramm, welches sich auf dem Schwarzmarkt gegen Bezahlung mieten lasse. Die Anbieter und die Anwender der Malware teilten sich dabei das erbeutete Lösegeld – sowohl Anteile als auch Einsatzgebiete seien in einer Art Nutzungsvereinbarung geregelt. Zudem betrieben die Verantwortlichen die berüchtigte Masche der sogenannten Doppelten Erpressung, „weil sie nicht nur die Dateien ihrer Opfer verschlüsseln, sondern mit der Veröffentlichung zuvor gestohlener Teile im Internet drohen“.

Jeder der Partner der DarkSide-Gruppe könnte Urheber sein

„Was wir über die ,DarkSide‘-Ransomware bislang wissen: Sie arbeitet über ein Ransomware-as-a-Service (RaaS)-Modell, worin sie ein Partnerprogramm nutzt, um ihre Angriffe auszuführen,“ berichtet Lotem Finkelsteen, „Head of Threat Intelligence“ bei Check Point. Das bedeutet laut Finkelsteen, „dass wir sehr wenig über den tatsächlichen Bedrohungsakteur hinter dem Angriff gegen Colonial wissen, da es jeder der Partner von ,Darkside‘ sein könnte“. Sie könnten jedoch sagen, dass umfangreichen Operationen wie dieser ein ausgeklügelter und gut konzipierter Cyber-Angriff zugrunde liege.
Der aktuelle Angriff gegen Colonial füge sich damit in eine wachsende Welle von Ransomware-Angriffen ein, besonders gegen Ziele in den Vereinigten Staaten von Amerika. Dabei schreckten die Hacker vor wenig zurück: „Eine von 39 Einrichtungen im Gesundheitswesen wurde bereits das Opfer eines Angriffs, im Bildungswesen war es eine von 48 und im Regierungssektor eine in 61. Versorgungsunternehmen, wie Colonial, wurden zuletzt jede Woche etwa 300-mal attackiert.“ Dies entspreche einem Anstieg von rund 50 Prozent in zwei Monaten – in der ersten März-Woche 2021 seien es noch im Durchschnitt 171 Angriffe gewesen.

Weitere Informationen zum Thema:

Check Point Research
Home

datensicherheit.de, 12.05.2021
Ransomware-Angriff auf Colonial Pipeline nur Teil einer neuen Welle / Betreiber einer der größten Treibstoff-Pipelines der USA musste Betrieb nach Attacke mit DarkSide-Ransomware vorübergehend einstellen

datensicherheit.de, 12.05.2021
Lehren aus dem Ransomware-Angriff auf Colonial Pipeline für Kritis-Betreiber / Edgard Capdevielle erläutert in seiner Stellungnahme, wie sich Kritis-Betreiber absichern können

datensicherheit.de, 11.05.2021
Ransomware-Angriff: Kraftstoffversorgung über Colonial Pipeline unterbrochen / FBI bestätigt Attacke auf Colonial Pipeline durch Hacker-Gruppe DarkSide

datensicherheit.de, 10.05.2021
Colonial Pipeline: Massiver Ransomware-Angriff auf Betreiber / Tenable kommentiert Folgen für die Betriebstechnik durch IT-Ausfall nach Ransomware-Befall