VG-Wort Pixel

Server abgeschaltet Wer steckt hinter den Lösegeld-Hackern Darkside?

Server abgeschaltet: Wer steckt hinter den Lösegeld-Hackern Darkside?
Sehen Sie im Video: An Tankstellen in den USA wird nach einem Hackerangriff auf eine Pipeline das Benzin knapp.




Nach dem Hacker-Angriff auf eine der wichtigsten Kraftstoff-Pipelines in den USA wird das Benzin im Südosten des Landes knapp. Dem Datenanbieter GasBuddy zufolge meldeten am Mittwoch 65 Prozent der Tankstellen im Bundesstaat North Carolina und 43 Prozent in Georgia leere Zapfsäulen. In der Stadt Atlanta lag die Quote knapp unter 60 Prozent. Der Kunde einer Tankstelle in Sandy Springs im US-Bundesstaat Georgia am Mittwoch: "Ich bin vor etwa 15-20 Minuten hier hergekommen. Dieser Hacker-Angriff auf die Colonial Pipeline hat wohl dazu geführt, dass zurzeit kein Treibstoff mehr nach Atlanta kommt. Also versuche ich, jetzt zu tanken, bevor mir das Benzin ausgeht, damit ich weiter zur Arbeit fahren kann." Der durchschnittliche Benzinpreis in den USA stieg am Mittwoch auf drei Dollar je Gallone (knapp 0,66 Euro je Liter), wie der Verband American Automobile Association mitteilte. Dies sei der höchste Stand seit Oktober 2014. Ein Hacker-Angriff hatte rund eine Woche zuvor die Leitungen von Colonial Pipeline lahmgelegt. Durch sie fließt fast die Hälfte der Kraftstoff-Versorgung der US-Ostküste. Die mutmaßlichen Verantwortlichen, eine "DarkSide" genannte Hackergruppe, hat erklärt, ihr Motiv sei finanzieller Gewinn und nicht politischer Natur. Von Colonial war zunächst nicht zu erfahren, wie weit die Bemühungen zur Wiederherstellung der Pipeline fortgeschritten waren.
Mehr
Ein Pipeline-Betreiber in den USA und die irische Gesundheitsbehörde wurden innerhalb einer Woche wahrscheinlich mit Schadsoftware derselben mysteriösen Hacker-Gruppe angegriffen: Darkside. Offenbar wurde der Server nun abgeschaltet.

Eine Woche nach dem Cyberangriff auf eine US-Pipeline ist die irische Gesundheitsbehörde Ziel einer ähnlichen Attacke geworden. "Es gibt einen bedeutenden Ransomware-Angriff auf die IT-Systeme", erklärte die Behörde nun auf Twitter. Beide Hackerattacken werden nach ersten Erkenntnissen internationalen Kriminellen angelastet. Das ist bisher über die Gruppe Darkside bekannt:

  • Eine relativ neue Gruppierung

Darkside tauchte nach Angaben von Experten erstmals im August 2020 auf. Sie ist eine der immer zahlreicher werdenden Gruppen, die selbst nicht aktiv angreifen, sondern Erpresser-Software für andere Kriminelle bereitstellen - und dann einen Anteil am Lösegeld einstreichen. 

Spezialisiert ist Darkside auf sogenannte Ransomware, der Name geht zurück auf das englische Wort "ransom" - also Lösegeld: Hacker versuchen per Schadprogramm, Computersysteme zu sperren oder zu verschlüsseln, und von den Nutzern Geld für die Freigabe der Daten zu erpressen.

Die US-Bundespolizei FBI geht fest davon aus, dass Software von Darkside hinter dem Angriff auf die größte Pipeline in den USA vor einer Woche steckt. Und bei der Cyberattacke auf die irische Gesundheitsbehörde am Freitag wurde nach ersten Erkenntnissen ähnliche Ransomware wie bei dem Hackerangriff auf den US-Pipeline-Betreiber Colonial eingesetzt.

  • Doppelte Erpressung

Experten gehen davon aus, dass das Team hinter Darkside aus sehr erfahrenen Hackern besteht. Die Software sei deutlich weiterentwickelt als bisherige Versionen von Erpressungs-Trojanern. "Darkside-Software nutzt die doppelte Erpressungs-Strategie: Die Angreifer verschlüsseln nicht nur die Daten des Nutzers. Sie ziehen vielmehr vorher noch alle Informationen ab und drohen mit deren Veröffentlichung, wenn das Lösegeld nicht gezahlt wird", erklären die Analysten von Cybereason, einer Firma, die Unternehmen gegen solche Angriffe schützen will.

Doppelstrategie hebelt Vorsichtsmaßnahmen aus

Durch diese Doppelstrategie wird laut Cybereason die bisher von vielen Unternehmen betriebene Vorsichtsmaßnahme ausgehebelt, die ihre Daten aus Angst vor Verschlüsselung oder Sperrung durch Hacker an einem anderen Ort nochmals in einem Backup aufbewahren. Indem Darkside-Software vor der Verschlüsselung der Daten diese abzieht, könnten die Angreifer nicht nur Geld für die Entsperrung verlangen, sondern auch mit der Veröffentlichung oder auch dem Verkauf der Informationen an Wettbewerber drohen.

"Die Höhe von Darkside-Lösegeld liegt zwischen 200.000 und zwei Millionen Dollar", schätzte im Februar die nationale Behörde für Cybersicherheit in Frankreich (Ansii). Damit aber lag sie vermutlich noch zu tief: Laut Bloomberg zahlte allein Colonial rund fünf Millionen Dollar (4,1 Millionen Euro) Lösegeld, um den Angriff auf seine Pipeline zu beenden, der die Treibstoffversorgung in den USA an den Rand des Kollaps brachte.

  • Verbindungen zu Russland?

In einer im Darknet - also dem den normalen Nutzern nicht zugänglichen Teil des Internets - veröffentlichten Erklärung betont Darkside, dass es "keine politische Agenda" und keine Verbindungen zu Regierungen habe. Einziges Ziel sei es, Geld zu machen. 

Dabei wollen sich die Kriminellen offenbar noch einen humanen Anstrich geben: Es gehe nicht darum, durch Angriffe soziale Probleme zu schaffen, betonen sie: Deshalb würden nur Unternehmen angegriffen, die das Lösegeld garantiert aufbringen könnten.

US-Ermittler vermuten, dass Darkside in Russland ansässig ist. Experten verweisen unter anderem darauf, dass bisher mit Darkside-Software offenbar nur westliche Unternehmen angegriffen wurden und keine russischen. 

"Verantwortliche 'Akteure' in Russland"

US-Präsident Joe Biden erklärte zuletzt, es gebe keine Beweise für eine Verantwortung der russischen Regierung an dem Angriff auf Colonial Pipeline. Wohl aber gebe es Hinweise, dass die verantwortlichen "Akteure" in Russland seien und die Schadsoftware von dort stamme.

Moskau seinerseits wies alle Vorwürfe einer Beteiligung oder Rückendeckung für den Angriff zurück. Russland übe keine "bösartigen" Aktivitäten im Netz aus, erklärte die russische Botschaft in den USA.

  • Darkside-Server wohl abgeschaltet

Der von der mutmaßlich verantwortlichen Hackergruppe genutzte Server ist offenbar von Unbekannten abgeschaltet worden. Die US-Sicherheitsfirma Recorded Future erklärte, der Betreiber des Darkside-Erpressungstrojaners habe in einem Post erklärt, den Zugang auf die Server verloren zu haben. Betroffen davon seien unter anderem der Blog der Gruppe und der Bezahl-Server. Auch sei durch Erpressung erbeutete Kryptowährung verlorengegangen.

nik DPA

Mehr zum Thema


Wissenscommunity


Newsticker