DarkSide: Server der Pipeline-Erpresser sind offline, Geld ist angeblich weg

Das Ransomware-Partnerprogramm DarkSide, das für den Ausfall der Colonial Pipeline in den USA verantwortlich gewesen sein soll, wurde offenbar dichtgemacht.

In Pocket speichern vorlesen Druckansicht 156 Kommentare lesen

(Bild: lensmen/Shutterstock.com)

Lesezeit: 5 Min.
Inhaltsverzeichnis

Der in Russland verortete Betreiber des Erpressungstrojaners DarkSide und des zugehörigen Affiliate-Programms hat bekanntgegeben, dass die Cybercrime-Gruppe die Kontrolle über ihre Webserver und einige Konten mit gezahlten Lösegeldern verloren hat. Die Bande wird für einen Cyberangriff auf die Benzin-Pipeline Colonial in den USA verantwortlich gemacht, der zu einem tagelangen Ausfall der kritischen Infrastruktur sorgte.

Das Eingeständnis von Darksupp, dem Kopf hinter der Bande, kommt einen Tag nach der Ankündigung von US-Präsident Joe Biden, "entscheidende Schritte" gegen die beteiligten Ransomware-Netzwerke einleiten zu wollen. Der Demokrat fügte hinzu, dass Sicherheitsbehörden des Landes Maßnahmen ergreifen würden, um deren Operationsfähigkeit zu unterbinden. Das US-Justizministerium wollte sich am Freitag nicht zu laufenden Ermittlungen äußern.

"Vor ein paar Stunden haben wir den Zugriff auf den öffentlichen Teil unserer Infrastruktur verloren", heißt es in der Darksupp zugeschriebenen Nachricht, die auf einem russischen Telegram-Kanal für "Open Source Intelligence" (OSINT) weiterverbreitet wurde. Der Ausfall betraf demnach einen Blog, in dem gestohlene Daten von Opfern veröffentlicht werden, die sich weigern, ein Lösegeld zu zahlen. Zudem haben man keinen Zugang mehr zu Servern, die für Zahlungsmittel und "Denial of Service"-Angriffe genutzt worden seien.

Außerdem seien einige Stunden nach dieser Operation Gelder vom Zahlungsserver für die Kryptogelder für das DarkSide-Netzwerk und die "Kunden" abgehoben und "an eine unbekannte Adresse" weitergeleitet worden, heißt es in der Mitteilung, über die auf Cybercrime spezialisierte Portale wie The Record und Krebs on Security berichten. Den Hosting-Support habe man weitgehend eingestellt, Auskünfte würden nur noch "auf Anfrage von Strafverfolgungsbehörden" erteilt.

Die nach eigenen Angaben "unpolitisch" agierenden DarkSide-Organisatoren taten demnach ferner kund, dass sie Entschlüsselungswerkzeuge für alle Unternehmen freigeben wollten, die sich den Trojaner eingefangen, aber noch kein Lösegeld gezahlt haben. Wer diese Software einsetze, könne wieder ganz normal frei übers Internet mit beliebigen Partnern kommunizieren. Colonial Pipeline soll sich für fast fünf Millionen US-Dollar freigekauft haben. Die gelieferte Entschlüsselungslösung war aber wohl so langsam, dass es schneller ging, Backups einzuspielen.

Die DarkSide-Nachricht enthält laut Beobachtern Passagen, die offenbar von einem Anführer der Ransomware-as-a-Service-Plattform REvil stammen. Sicherheitsexperten gehen schon länger davon aus, dass es enge Verbindungen zwischen Kernmitgliedern von DarkSide und der REvil-Gang gibt, die ein eigenes Partnerprogramm entwickelt hat und hinter Angriffen etwa auf Apple, Acer und Donald Trump stehen soll.

Ein REvil-Vertreter unterstrich parallel, dass man neue Beschränkungen für die Art von Organisationen einführe, für die Partner Lösegeld verlangen dürften. Fortan sei es etwa verboten, Organisationen im "sozialen Bereich" wie Gesundheits- und Bildungseinrichtungen sowie im Regierungssektor eines Landes anzugreifen. Zudem müssen die Affiliates künftig offiziell eine Genehmigung einholen, bevor sie ihre Opfer infizieren.

Hintergrund ist, dass sich Betreiber russischer Cybercrime-Foren zunehmend von Ransomware-Operationen insgesamt distanzieren. Am Donnerstag etwa kündigte der Administrator der vielbesuchten Website XSS an, dass die Community keine Diskussion über Erpressungstrojaner mehr zulassen würde, wenn die dahinterstehenden Programme kommerziell ausgerichtet seien. Die Erpressergruppe Avaddon äußerte sich ähnlich.

"Ransomware hat eine kritische Masse an Unsinn, Bullshit, Hype und Rummel erzeugt", schrieb der XSS-Admin. Das Wort werde auf eine Stufe mit einer Reihe unliebsamer Phänomene wie geopolitische Spannungen, Erpressung und von Regierungen unterstützte Hacks gestellt: "Dieses Wort ist gefährlich und giftig geworden." Am Montag hatte das Bundeskriminalamt in seinem Cybercrime-Bericht Ransomware als eine der größten Online-Bedrohungen ausgemacht und die dahinterstehenden Strukturen beleuchtet.

Analysten wie Dmitry Smilyanets und Mitarbeiter der Sicherheitsfirma Intel 471 gehen davon aus, dass der Pipeline-Hack das Fass zum Überlaufen gebracht haben dürfte. Sie geben aber auch zu bedenken, dass die Ransomware-Betreiber nur bestrebt sein könnten, sich eine Zeit lang aus dem Rampenlicht zurückzuziehen. Es liege nahe, dass sie vorerst in ihren eigenen geschlossenen Gruppen operierten und später unter neuen Namen mit aktualisierten Trojaner-Varianten wieder auftauchten. Ferner müssten die Banden einen neuen Weg finden, um Kryptowährungen zu "waschen". Der dazu oft genutzte Dienst BitMix habe seinen Betrieb offenbar jüngst eingestellt.

Nach Wiederaufnahme des Betriebs der größten Benzin-Pipeline der USA hat die US-Regierung derweil ein baldiges Ende der Engpässe an Tankstellen im Südosten des Landes in Aussicht gestellt. Es werde aber noch ein paar Tage dauern, bis wieder Normalität hergestellt sei, erklärte eine Sprecherin des Weißen Hauses. Sie rief Autofahrer in den betroffenen Regionen erneut dazu auf, kein Benzin zu horten.

Besonders schwer von der Benzinknappheit betroffen war auch am Freitag die US-Hauptstadt Washington: Dort hatten am Mittag 88 Prozent der Tankstellen keinen Treibstoff, wie Patrick De Haan von der Marktanalysefirma Gasbuddy auf Twitter mitteilte. Im Bundesstaat North Carolina lagen 67 Prozent der Tankstellen trocken, in South Carolina 49 Prozent. In mehreren betroffenen Bundesstaaten sprudelte der Treibstoff laut den Daten aber wieder verstärkt.

(tiw)