Immer mehr Unternehmen werden Opfer professionell organisierter Ransomware-Angriffe. Möglich machen dies unter anderem Anbieter von sogenannten „Ransomware-as-a-Service“-Leistungen. Mit der Entwicklung und dem Einsatz von Erpressungssoftware verdienen Cyberkriminelle regelmäßig Summen in Millionenhöhe. In diesem Jahr verursachten unter dem Namen „DarkSide“ versammelte Hackerteams bereits 60 bekannte Fälle.
Die Technik hinter den Angriffen
Für die Angriffe werden nach Angaben des IT-Security-Experten Sophos eine Mischung aus nativen Windows-Funktionen, Standard-Malware und „handelsübliche“ System- und Exploit-Tools wie z.B. Cobalt Strike genutzt. Mit diesen Funktionen verschlüsseln sie wichtige Geschäftsdaten, ziehen aber zusätzlich wichtige Daten ab, um anschließend mit dessen Veröffentlichung zu drohen, sofern das geforderte Lösegeld nicht rechtzeitig gezahlt wird. Selbst durch Back-up kann ein Schaden somit nicht mehr verhindert werden.
Das neueste Opfer des Rings rund um DarkSide war ein Chemiehersteller aus Essen, dem sie mehr als 150 Gigabyte sensible Daten gestohlen haben sollen und zugleich die Originaldaten auf den Firmenservern verschlüsselten. Für die Entschlüsselung der Daten und zur Verhinderung der Veröffentlichung der gestohlenen Daten, in Form von Finanzdaten, Verträgen und Mitarbeiterinformationen forderten die Kriminellen Bitcoins im Wert von 7,5 Millionen US-Dollar ein.
DarkSide beunruhigt selbst Hacker-Szene
Den größten Coup startete die Hackergruppe jedoch kürzlich bei einem Angriff auf den Pipeline-Betreiber Colonial, der eine der größten Ölleitungen Amerikas betreibt. Fast eine ganze Woche lang standen die Leitungen still und die Cyberkriminellen sollen umgerechnet rund 4 Millionen Euro erbeutet haben.
Als kurz darauf US-Präsident Joe Biden deutlich machte, Schritte gegen die Angreifer der Pipeline eingehen zu werden, wuchs offenbar die Abneigung der Hacker-Community gegen die Mitglieder von DarkSide. Schon zuvor griff die Hackergruppe zum Missfallen der Community Schulen, Versorgungsunternehmen und medizinische Dienste an.
Dies brachte unter anderem den Administrator des russischen Chat-Forums „XSS“ dazu, die Gruppe aus seinem Forum auszuschließen. Hier hatte sich DarkSide vorher ausgiebig ausgetauscht und weitere Mitglieder für die Ransomeware-Angriffe akquiriert.
Der Ausschluss ist aber wohl keine moralisch motivierte Aktion, sondern eher eine Maßnahme, um das eigene Forum nicht weiter in Verruf zu bringen. Hierfür spricht auch die weitere Entscheidung des Forums, dass es zukünftig nicht mehr für das Anwerbern neuer „Ransomeware-as-a-Service“-Partner genutzt werden darf.
Aktuell sind die unter Decknamen operierenden Mitglieder von DarkSide untergetaucht, doch es bleibt spannend, wo sie vielleicht demnächst wieder auftauchen werden.
Wie Sie Ihr Unternehmen vor Angriffen schützen
Um einen bestmöglichen Schutz gegen solche Attacken aufzubauen, sind folgende Vorgehensweisen zu empfehlen:
- Stellen Sie sicher, dass Ihre Systeme gepatcht sind und für jeden Remotezugriff eine Multi-Faktor-Authentifizierung erforderlich ist.
- Patches sollten idealerweise innerhalb von 5 Tagen eingespielt werden können.
- Richten Sie Ihre Server so ein, dass PowerShells und nicht autorisierte Binärdateien nicht ausgeführt werden können.
- DMZ und LAN müssen isoliert sein.
- Alle im Netzwerk bestehenden Geräte sollten mit einem erweiterten Endpoint-Schutz ausgestattet werden.
- Dies gilt auch besonders für Server, diese werden häufig befallen, da sie selten rechtzeitig gepatcht werden oder keine Sicherheitstools vorinstalliert haben.
- Protokolle und Sensoren sollten auf anormale Aktivitäten überwacht und Warnungen sowie verdächtigte Aktivitäten auf ihre Ursache untersucht werden.
Der Einsatz moderner IT-Security-Lösungen ist daher unverzichtbar, allerdings ist auch die Wachsamkeit der IT-Administratoren immer gefragt. Gerne unterstützt Sie unser IT-Systemtechnik-Team bei der Wahl der richtigen Produkte und die anschließende Implementierung.
Bildquellen:
Designed by macrovector / Freepik