Kaspersky-Aktuell: Modus Operandi von DarkSide

Wie arbeitet die Cyberkriminellen-Gruppe DarkSide, die u.a. für die Ransomware-Attacke auf die Colonial Pipeline verantwortlich ist? Unser Experte Vladimir Kuskov, Head of Threat Exploration bei Kaspersky gibt einen Überblick.

Vor einigen Tagen hat die Cyberkriminellen-Gruppe DarkSide die Colonial Pipeline in den USA angegriffen, Daten entwendet und die Pipeline stillgelegt. Solch zielgerichtete Ransomware-Angriffe sind in den vergangenen Jahren immer häufiger geworden, wie Kaspersky-Analysen zeigen: Die Anzahl ist von 2019 bis 2020 um 767 Prozent gestiegen. Hinzu kommen immer mehr Angriffe auf Industrieunternehmen – auch in Deutschland. So wurden im zweiten Halbjahr 2020 33 Prozent mehr Ransomware und 43 Prozent mehr schädliche Dokumente innerhalb industrieller Kontrollsysteme blockiert als im ersten Halbjahr 2020.

Vladimir Kuskov, Head of Threat Exploration bei Kaspersky erklärt zu DarkSide:

„DarkSide ist eine typische Gruppe von Cyberkriminellen, die am „Big Game Hunting“ beteiligt ist. Ihr Ziel: Geld verdienen. Sie arbeiten über Affiliate-Partner-Programme und bieten ihre Ransomware „Partnern“ an, die wiederum den Zugriff auf Organisationen von anderen Hackern kaufen und diesen dann zur Bereitstellung von Ransomware nutzen. Im Gegensatz zu einigen anderen Gruppen behauptet DarkSide, einen Verhaltenskodex zu haben: Sie behaupten keine Krankenhäuser, Schulen, Regierungsinstitutionen und nichtkommerzielle Organisationen anzugreifen.

DarkSide haben gestern eine Erklärung auf ihrer Homepage veröffentlicht. Demnach hätten sie nach dem Angriff auf die Colonial Pipeline keine derart weitreichenden Konsequenzen und solch eine hohe Aufmerksamkeit erwartet. Die Einführung einer Art „Moderation“ solle künftig ähnliche Situationen vermeiden.

Es gibt zwei Versionen der DarkSide-Ransomware – für Windows und Linux. Beide Versionen verfügen über ein sicheres kryptografisches Schema, so dass eine Entschlüsselung ohne Key nicht möglich ist. In der Vergangenheit haben sie für mehrere Opfer dieselben Schlüssel verwendet und so konnten Sicherheitsunternehmen ein dafür passendes Entschlüsselungstool erstellen, mit dem die Opfer ihre Dateien wiederherstellen konnten, ohne das Lösegeld zu zahlen. DarkSide hat darauf im Darknet-Forum reagiert und dieses für sie bedeutende Problem behoben, so dass Betroffene jetzt diese Möglichkeit leider nicht mehr haben.“

 

Kaspersky-Sicherheitsempfehlungen zum Schutz vor Ransomware-Angriffen

  • Remote-Desktop-Dienste nicht öffentlichen Netzwerken aussetzen, es sei denn, dies ist unbedingt erforderlich.
  • Sichere Kennwörter für alle Dienste verwenden.
  • Umgehend verfügbare Patches für kommerzielle VPN-Lösungen, die den Zugriff für Remote-Mitarbeiter ermöglichen und als Gateways im Netzwerk fungieren, installieren.
  • Software auf allen verwendeten Geräten auf dem neuesten Stand halten, um zu verhindern, dass Ransomware Schwachstellen ausnutzt.
  • Die eigene Verteidigungsstrategie, auf die Erkennung lateraler Bewegungen und Datenexfiltration ins Internet konzentrieren sowie ausgehendem Verkehr besondere Aufmerksamkeit widmen, um Verbindungen durch Cyberkriminelle zu identifizieren. Lösungen wie Kaspersky Endpoint Detection and Response und Kaspersky Managed Detection and Response erkennen und blockieren solche Angriffe frühzeitig.

 

Kaspersky-Produkte schützen vor der DarkSide-Ransomware und erkennen sie als Trojan-Ransom.Win32.Darkside und Trojan-Ransom.Linux.Darkside.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.