Nach Hackerangriff in den USA Was wir über Darkside wissen
Die kriminelle Gruppe Darkside soll hinter mehreren spektakulären Hackerangriffen der vergangenen Monate stecken, unter anderem gegen den US-Pipeline-Betreiber Colonial. Was wissen wir über sie?
Wie geht Darkside vor?
Darkside nennt sich eine anonyme Hackergruppe, die mindestens seit August vergangenen Jahres Erpressungssoftware, sogenannte Ransomware, anbietet und diese auch selbst einsetzt. Mit den Programmen können Netze, zum Beispiel von Unternehmen, Behörden und anderen Institutionen, aber auch einzelnen Personen angegriffen werden. Sie kopieren dabei Daten aus den Computern und verschlüsselt gleichzeitig die beim legitimen Nutzer vorhandenen Dateien, sodass dieser nicht mehr darauf zugreifen kann.
Die Erpresser verlangen dann Geld dafür, diese wieder freizugeben und die gestohlenen Daten nicht zu veröffentlichen. Zudem drohen sie laut dem IT-Sicherheitsexperten Brian Krebs, Dritte über die bevorstehende Veröffentlichung der Daten zu informieren, damit diese vom fallenden Aktienkurs des erpressten Unternehmens profitieren können. Bezahlt werden soll in Kryptowährungen, deren Verbleib nicht nachvollzogen werden kann.
Darkside führt selber Erpressungen durch, bietet aber auch anderen Kriminellen seine Dienste an. Laut den Cybersecurity-Unternehmen Fireeye operieren mindestens fünf Gruppen mit dem Darkside-System. Das nun angebotene Paket "Darkside 2.0" soll Daten besonders schnell verschlüsseln und auf verschiedenen Plattformen laufen. Die Gruppe geht dabei besonders professionell vor: So soll sie für ihre Kunden eine eigene "Hotline" bieten und die Opfer auf ihre wirtschaftliche Leistungsfähigkeit analysieren, um die Erpressungssumme anzupassen. Darkside betreibt im Darknet zudem ein virtuelles "Pressezentrum", in dem auch Mitteilungen über aktuelle Opfer veröffentlicht werden - wahrscheinlich auch, um den Zahlungsdruck zu erhöhen.
Welche Ziele hat Darkside bisher angegriffen?
Die wenigsten Opfer werden offen zugeben, mithilfe der Darkside-Ransomware erpresst worden zu sein. Daher ist dies schwer zu sagen. Im Fall des Hackerangriffs auf die größte Pipeline in den USA wurde dies von der Bundespolizei FBI bestätigt. Einem Bericht der Finanznachrichtenagentur Bloomberg zufolge hat die Betreibergesellschaft Colonial Pipeline den Erpressern fast fünf Millionen Dollar gezahlt.
Toshiba Tec, ein Hersteller von Zahlungssystemen und Kopierern, ist nach eigenen Angaben Anfang Mai von Darkside gehackt worden. Laut der Website Bleeping Ccomputer soll auch der Chemievertrieb Brenntag zu den Opfern gehören und eine Millionensumme gezahlt haben. Auf der Darknet-Website von Darkside sind weitere Unternehmen aufgeführt, die angegriffen worden sein sollen. Dies lässt sich jedoch nicht überprüfen.
Was unterscheidet Darkside von anderen Ransomware-Erpressern?
Ransomware-Erpressungen gibt es bereits seit Jahren. Im Gegensatz zu anderen Tätern versucht Darkside jedoch, sich einen sozialen Anstrich zu geben: Laut dem IT-Sicherheitsunternehmen Cyberreason verbietet es den Einsatz seiner Software gegen Krankenhäuser, Hospize, Schulen, Universitäten, gemeinnützige Organisationen und Regierungsbehörden. Zudem versucht Darkside, einen Teil der Einnahmen an gemeinnützige Organisationen zu spenden. Da die Gelder aus kriminellen Machenschaften stammten, wurden diese bisher zurückgewiesen.
Die Gruppe erklärt, keine politischen Ziele zu verfolgen. Für den Angriff auf die Colonial-Pipeline bat sie um Entschuldigung: Sie habe die Folgen nicht absehen können.
Wie kann man sich gegen Darkside schützen?
Laut einer Analyse des IT-Sicherheitsunternehmens Trend Micro bedient sich Darkside bei seinen Angriffen einer ganzen Reihe von Strategien, nutzt dabei sowohl menschliche wie technische Schwächen aus: So werden sowohl Phishing-Techniken wie auch bekannte und in einem Fall auch neu entdeckte Sicherheitslücken angewandt, weiterhin Fernsteuerungssoftware (Remote-Desktop) und legale Testprogramme, die das Ziel auf mögliche Einfalltore überprüfen. Daher müssen sämtliche Aspekte der IT-Sicherheit beachtet werden, um einen Darkside-Angriff zu verhindern.
Bei einer früheren Darkside-Version war es gelungen, die Verschlüsselung der Daten zu knacken. So war es zumindest möglich, die Daten auf den betroffenen Systemen wieder herzustellen, ohne die Geldforderungen zu erfüllen. Dies verhinderte jedoch nicht, dass die erbeuteten Daten veröffentlicht werden konnten. Für "Darkside 2.0" gibt es offenbar noch keine Software, die die verschlüsselten Dateien ohne Hilfe der Kriminellen wiederherstellt.