[English]Vorige Woche gab es ja einen Ransomware-Angriff auf den Betreiber einer Pipeline an der US-Ostküste, in dessen Folge die Pipeline still gelegt werden musste. Nun brennt, bildlich gesprochen, überall die Hütte. Der US-Präsident hat den lokalen Notstand ausgerufen. Und die Folgen wirbeln so viel Staub auf, dass die DarkSide-Gang außergewöhnliche Schritte angekündigt hat. Zudem ist gerade bekannt geworden, dass der Versicherungskonzern AXA keine Ransomware-Lösegeld-Zahlungen mehr erstattet.
Anzeige
Notstand nach Ransomware-Angriff auf US-Pipeline
Donnerstag, den 6. Mai 2021, gab es einen erfolgreichen Ransomware-Angriff der DarkSide-Gruppe auf den größten U.S.-Pipeline-Betreiber Colonial Pipeline. Der Angriff beeinträchtige zwar die eigentlichen Steuerungssysteme für die Pipeline nicht. Aber in Folge dieses Angriffs musste der Betreiber den Betrieb der Pipeline einstellen. Ich hatte einige Informationen im Blog-Beitrag Ransomware-Angriff auf US-Pipeline-Betreiber (Mai 2021) zusammen getragen.
Da diese Pipeline 45 % der an der US-Ostküste benötigten Treibstoffmenge versorgt, waren Probleme bei einem länger andauernden Stopp des Pipeline-Betriebs absehbar. Inzwischen hat die Federal Motor Carrier Safety Administration (FMCSA) eine regionale Notstandserklärung abgegeben, die 17 Bundesstaaten und den District of Columbia betrifft. Die Erklärung zielt darauf ab, Gebiete zu unterstützen, die eine sofortige Versorgung mit Benzin, Diesel, Flugzeugtreibstoff und anderen raffinierten Erdölprodukten benötigen. Die Kollegen bei Bleeping Computer haben einige Informationen dazu zusammen getragen, ein deutschsprachiger Beitrag findet sich auf MSN.
Die Ransomware-Gruppe hatte zudem Daten vor dem Verschlüsseln abgezogen und plante den Betreiber mit deren Veröffentlichung zu erpressen. Das Ganze hat aber nach meinem Gefühl die Dimension von "rauchen in einem offenen Treibstofftank" angenommen und dürfte der DarkSide-Ransomware-Gang um die Ohren fliegen. Denn auf Grund des Ausfalls der Pipline steigen in den Regionen an der Ostküste die Preise für Treibstoffe. Da verstehen die Amerikaner keinen Spaß und die Folgeschäden gehen auch hoch.
Anzeige
Die US Geheimdienste und Strafverfolger werden also alles daran setzen, die Mitglieder der Darkside-Gang zu ermitteln und dingfest zu machen. Interessant ist in diesem Zusammenhang der obige Tweet, dass sich die US-Administration bereits frühzeitig festlegt, dass es keine Hinweise auf eine Beteiligung der russischen Geheimdienste gäbe. Es sind wohl schlicht Kriminelle, die von russischem Hoheitsgebiet operieren und so ist der Hinweis in obigem Tweet zu interpretieren, dass Russland eine gewisse Verantwortung hat, mit diesem Fall umzugehen. Da brennt also auch in dieser Richtung, bildlich gesprochen, die Hütte.
Eigentlich vergeht kein Tag, an dem nicht irgendwo eine Ransomware-Infektion zu berichten ist. Neuester Fall ist die Ransomware-Infektion der US-Stadt Tulsa in Oklahoma, wie hier berichtet wird.
Darkside-Gang will Ziele besser aussuchen
Bei DarkSide handelt es sich um eine organisierte Gruppe von Hackern, die nach dem Geschäftsmodell "Ransomware as a Service" arbeitet. Sie entwickeln Ransomware und verkaufen ihre Leistung und Infrastruktur an andere Kriminelle. Diese führen dann die Angriffe gegen Erfolgsbeteiligung durch. Der Angriff auf die US-Pipeline hat nun aber so viel Staub aufgewirbelt, dass die Gruppe eine Art Verlautbarung auf ihrer Webseite publiziert hat die CNBC in diesem Artikel aufgegriffen hat.
In der Erklärung gibt die DarkSide-Gruppe an, dass man nicht politisch agiere, sondern lediglich Geld mit der Ransomware machen will, ohne jedoch Probleme für die Gesellschaft zu verursachen. "Wir sind unpolitisch, wir beteiligen uns nicht an der Geopolitik, brauchen uns nicht mit einer bestimmten Regierung zu verbinden und nach unseren Motiven zu suchen", hieß es in der Erklärung. "Unser Ziel ist es, Geld zu verdienen, und nicht, Probleme für die Gesellschaft zu schaffen. Ab heute führen wir eine Moderation ein und prüfen jedes Unternehmen, das unsere Partner verschlüsseln wollen, um soziale Konsequenzen in der Zukunft zu vermeiden."
Der Sicherheitsanbieter Cybereason, der die Verlautbarung gegenüber CNBC öffentlich gemacht hat, berichtet, dass DarkSide ein perverses Verlangen habe, ethisch zu erscheinen. Die Gang hat sogar einen eigenen Verhaltenskodex für seine Kunden veröffentlicht, der ihnen vorgibt, wer und welche Ziele angreifbar sind. Zu den geschützten Organisationen, die nicht angegriffen werden dürfen, gehören Krankenhäuser, Hospize, Schulen, Universitäten, gemeinnützige Organisationen und Regierungsbehörden. Ebenfalls geschützt sind anscheinend Organisationen mit Sitz in ehemaligen Sowjetländern. Freiwild sind also alle gewinnorientierten Unternehmen in englischsprachigen Ländern.
DarkSide behauptet auch, dass es einen Teil seiner Gewinne an Wohltätigkeitsorganisationen spenden wird, obwohl einige der Wohltätigkeitsorganisationen die Beiträge abgelehnt haben. Dazu heißt es: "Egal, wie schlecht Sie unsere Arbeit finden, wir freuen uns zu wissen, dass wir geholfen haben, das Leben von jemandem zu verändern. Heute haben wir die ersten Spenden verschickt [sic]." Laut Cybereason arbeitet die Ransomware-Gruppe hochprofessionell und sehr arbeitsteilig. Es gibt einen Helpdesk und eine Call-in-Telefonnummer für Opfer.
Die Gruppe hat bereits vertrauliche Daten von mehr als 40 Opfern veröffentlicht. Dazu unterhält die Gruppe eine Website namens "DarkSide Leaks", die WikiLeaks nachempfunden ist und auf der die Hacker erbeutete private Daten von Unternehmen veröffentlichen. Ziel ist es, den Druck auf die Opfer zu erhöhen, damit diese doch noch ein Lösegeld zahlen.
Die Lösegeldforderungen reichen typischerweise von 200.000 bis 20 Millionen Dollar. Die Hacker sammeln detaillierte Informationen über ihre Opfer und kalkulieren dann auf Grund der Unternehmensgröße und der Umsätze die Lösegeldsummen. Allerdings gehe ich davon aus, dass jetzt der Ermittlungsdruck auf die Gruppe stark anwächst. In den letzten Jahren ist es Strafverfolgern immer wieder gelungen, Hacker zu ermitteln und dingfest zu machen. Auch die Verfolgung der Zahlungsströme von Krypto-Geld ist zwar schwierig, scheint aber nicht unmöglich zu sein.
The Hacker News berichtet hier, dass 25 % der Tor-Exit-Knoten in Bezug auf Darknet-Aktivitäten überwacht wurden. Einem unbekannten Akteur gelang es Anfang Februar 2021, mehr als 27 % der gesamten Ausgangskapazität des Tor-Netzwerks zu kontrollieren. Das ergab eine neue Studie über die Dark-Web-Infrastruktur.
AXA stoppt Erstattung von Lösegeldern
Bisher war es so, dass Cyberversicherungen für die gezahlten Ransomware-Summen aufkamen. In den USA versucht man daher den Geldstrom zu unterbrechen, indem die Zahlung von Lösegeld genehmigungspflichtig ist (siehe Empfehlungen des US-Finanzministeriums zu Ransomware-Forderungen). Diesem Beitrag entnehme ich, dass einer der größten Versicherer Europas, die AXA, die Erstattung von Lösegeldzahlungen für französische Ransomware-Opfer einstellt. Die betreffenden Policen, die Opfern von Ransomware Zahlungen erstatten sollen, werden dazu ausgesetzt. Eine offizielle Bestätigung der AXA gibt es noch nicht – aber ich denke, der Trend wird in diese Richtung gehen. Wird noch spannend werden, die Entwicklung in dieser Richtung zu verfolgen.
Artikelreihe
Deutsche Unternehmen häufig Opfer von Ransomware – Teil 1
Deutsche Unternehmen zahlen öfters bei Ransomware – Teil 2
Empfehlungen des US-Finanzministeriums zu Ransomware-Forderungen
Anzeige
Wenn diese Leute in Russland sitzen, dann werden die von den Amerikanern niemals zur Rechenschaft gezogen werden können. Auch nicht, wenn sie rein "privatwirklich" agieren und nichts mit staatlichen Stellen zu tun haben.
Sag niemals nie.
https://www.neowin.net/news/colonial-pipeline-was-using-vulnerable-outdated-version-of-microsoft-exchange/
Ob da wohl die Kacke am Dampfen is?
https://www.bloomberg.com/news/articles/2021-05-13/colonial-pipeline-paid-hackers-nearly-5-million-in-ransom