DarkSide (Hackergruppe)

DarkSide ist eine wahrscheinlich osteuropäische Gruppe von Crackern, die sich auf Ransomware spezialisiert hat und dies auch „as a Service“ anbietet (sogenanntes RaaS). Die Gruppe hat sich vor allem auf finanzstarke Opfer spezialisiert und fährt ihre Attacken individualisiert, das heißt, der Code ist auf das Opfer zugeschnitten. Nach eigenen Angaben attackiert die Gruppe keine kritischen Infrastrukturen, wie beispielsweise Krankenhäuser.

Die Gruppe versucht über TOR, einen Windows-Computer zu infiltrieren. Es wird darauf geachtet, dass keine Nodes mit Endpoint Detection & Response verwendet werden. Nach einer Warteperiode versucht man, sich im System zu verschleiern, vor allem werden Logdateien gelöscht, um bei einer späteren forensischen Analyse möglichst nicht (oder zumindest erst spät) entdeckt zu werden. Anschließend werden Zugangsinformationen ausgespäht. Über Filesharing werden weitere Computer infiziert. Dateiarchive werden gebildet. Bei den Opfern wird die Dateiberechtigung so geändert, dass mehr Benutzer Lese- und Schreibrechte erhalten. Der nächste Schritt ist, Datensicherungen (Backups) zu löschen. Auch Schattenkopien werden gelöscht. Am Ende folgt die Verschlüsselung ausgewählter Dateien, um ein Lösegeld zu erpressen.^[1]

Die Gruppe hat auch einen Leaking-Server im Iran aufgestellt, um an Informationen zu gelangen, wie staatliche Stellen oder andere Crackinggruppen versuchen, DarkSide zu schaden.^[2][1]

Aktiv wurde die Gruppe etwa im August 2020. Ihr bekanntestes Opfer war bisher Colonial Pipeline in den USA. Der Pipelinebetreiber fuhr nach dem Angriff sein IT-System herunter, was dazu führte, dass er im Mai 2021 an der Ostküste keine Ölprodukte liefern konnte.^[3] Der Betreiber hat etwa 4,4 Millionen Dollar an Lösegeld gezahlt. Bei den Ermittlungen ist es dem FBI innerhalb eines Monats gelungen, den privaten Schlüssel eines Wallets von DarkSide in Besitz zu nehmen. So konnten 63,7 Bitcoins, oder umgerechnet 2,26 Millionen Dollar, zurückerlangt werden. Des Weiteren ist Anfang Juni bekannt geworden, dass ein kompromittierter VPN-Zugang genutzt wurde, um bei Colonial Pipeline einzudringen. Ein IT-Sicherheitsspezialist sagte aus, dass dieses VPN-Konto keine Zwei-Faktor-Authentisierung hatte und das Passwort unsicher gewesen sei. Dieses Passwort tauchte später auch im Darknet auf.^[4]

Nach dem Angriff auf Colonial Pipeline wurden auch noch weitere Attacken auf IT-Systeme mit DarkSide in Verbindung gebracht. So wurde der Irische Gesundheitsdienst Health Service Executive angriffen, welcher Ähnlichkeiten zum Angriff auf Colonial Pipeline zeigte.^[5] Auch teilte die Toshiba TEC France Imaging Systems SA, eine französische Tochter der japanischen Toshiba, mit, dass DarkSide sie Anfang Mai angegriffen habe, jedoch nur eine geringe Datenmenge abgeflossen sei.^[6]

1. ↑ ^{a b} Snir Ben Shimol: Return of the Darkside: Analysis of a Large-Scale Data Theft Campaign. 10. Mai 2021, abgerufen am 13. Mai 2021 (englisch). 
2. ↑ DarkSide Ransomware. Enterprise malware with links to GandCrab and Sodinokibi. Abgerufen am 13. Mai 2021 (englisch). 
3. ↑ Colonial Pipeline nimmt Betrieb nach Cyberattacke wieder auf. Es werde noch mehrere Tage dauern, bis die Anlage wieder normal läuft, heißt es vom Betreiber. Unterdessen geht Tausenden Tankstellen im Osten der USA das Benzin aus. In: Zeit Online. Zeit Online GmbH, 13. Mai 2021, abgerufen am 13. Mai 2021. 
4. ↑ Das FBI holt 2 Millionen von Ramsonware-Gang Darkside zurück. In: Insidte IT. 8. Juni 2021, abgerufen am 8. Juni 2021. 
5. ↑ Irlands Gesundheitsdienst schaltet IT-Systeme ab. Nach der Attacke auf die US-Benzinpipeline hat die Hackergruppe DarkSide offenbar erneut zugeschlagen. Bei Angriffen auf das irische Gesundheitssystem und Toshiba wurden ähnliche Erpressungstrojaner verwendet. 14. Mai 2021, abgerufen am 8. Juni 2021. 
6. ↑ Toshiba in Europa Ziel eines Hackerangriffs. Nach Unternehmensangaben ist Toshiba Tec Anfang Mai von der Gruppe gehackt worden, die womöglich auch hinter dem Pipeline-Angriff in den USA steckt. Abgerufen am 8. Juni 2021.