Ein Pipeline-Betreiber in den USA und die irische Gesundheitsbehörde: Eigentlich haben diese beiden nichts gemein – außer, dass sie innerhalb einer Woche womöglich mit Schadsoftware derselben mysteriösen Hacker-Gruppe angegriffen wurden. Was bisher über die Gruppe Darkside bekannt ist:
Eine relativ neue Gruppierung
Darkside tauchte nach Angaben von Experten erstmals im August 2020 auf. Sie ist eine der immer zahlreicher werdenden Gruppen, die selbst nicht aktiv angreifen, sondern Erpresser-Software für andere Kriminelle bereitstellen – und dann einen Anteil am Lösegeld einstreichen.
Spezialisiert ist Darkside auf sogenannte Ransomware, der Name geht zurück auf das englische Wort „ransom“ – also Lösegeld: Hacker versuchen per Schadprogramm, Computersysteme zu sperren oder zu verschlüsseln, und von den Nutzern Geld für die Freigabe der Daten zu erpressen.
Die US-Bundespolizei FBI geht fest davon aus, dass Software von Darkside hinter dem Angriff auf die größte Pipeline in den USA vor einer Woche steckt. Und bei der Cyberattacke auf die irische Gesundheitsbehörde am Freitag wurde nach ersten Erkenntnissen ähnliche Ransomware wie bei dem Hackerangriff auf den US-Pipeline-Betreiber Colonial eingesetzt.
Doppelte Erpressung
Experten gehen davon aus, dass das Team hinter Darkside aus sehr erfahrenen Hackern besteht. Die Software sei deutlich weiter entwickelt als bisherige Versionen von Erpressungs-Trojanern. „Darkside-Software nutzt die doppelte Erpressungs-Strategie: Die Angreifer verschlüsseln nicht nur die Daten des Nutzers. Sie ziehen vielmehr vorher noch alle Informationen ab und drohen mit deren Veröffentlichung, wenn das Lösegeld nicht gezahlt wird“, erklären die Analysten von Cybereason, einer Firma, die Unternehmen gegen solche Angriffe schützen will.
Durch diese Doppelstrategie wird laut Cybereason die bisher von vielen Unternehmen betriebene Vorsichtsmaßnahme ausgehebelt, die ihre Daten aus Angst vor Verschlüsselung oder Sperrung durch Hacker an einem anderen Ort nochmals in einem Backup aufbewahren. Indem Darkside-Software vor der Verschlüsselung der Daten diese abzieht, könnten die Angreifer nicht nur Geld für die Entsperrung verlangen, sondern auch mit der Veröffentlichung oder auch dem Verkauf der Informationen an Wettbewerber drohen.
„Die Höhe von Darkside-Lösegeld liegt zwischen 200.000 und zwei Millionen Dollar“, schätzte im Februar die nationale Behörde für Cybersicherheit in Frankreich (Ansii). Damit aber lag sie vermutlich noch zu tief: Laut Bloomberg zahlte allein Colonial rund fünf Millionen Dollar (4,1 Millionen Euro) Lösegeld, um den Angriff auf seine Pipeline zu beenden, der die Treibstoffversorgung in den USA an den Rand des Kollaps brachte.
Verbindungen zu Russland?
In einer im Darknet – also dem den normalen Nutzern nicht zugänglichen Teil des Internets – veröffentlichten Erklärung betont Darkside, dass es „keine politische Agenda“ und keine Verbindungen zu Regierungen habe. Einziges Ziel sei es, Geld zu machen.
Dabei wollen sich die Kriminellen offenbar noch einen humanen Anstrich geben: Es gehe nicht darum, durch Angriffe soziale Probleme zu schaffen, betonen sie: Deshalb würden nur Unternehmen angegriffen, die das Lösegeld garantiert aufbringen könnten.
US-Ermittler vermuten, dass Darkside in Russland ansässig ist. Experten verweisen unter anderem darauf, dass bisher mit Darkside-Software offenbar nur westliche Unternehmen angegriffen wurden und keine russischen.
US-Präsident Joe Biden erklärte am Montag, es gebe keine Beweise für eine Verantwortung der russischen Regierung an dem Angriff auf Colonial Pipeline. Wohl aber gebe es Hinweise, dass die verantwortlichen „Akteure“ in Russland seien und die Schadsoftware von dort stamme.
Moskau seinerseits wies alle Vorwürfe einer Beteiligung oder Rückendeckung für den Angriff zurück. Russland übe keine „bösartigen“ Aktivitäten im Netz aus, erklärte die russische Botschaft in den USA.