Nicht auf eigenem Mist gewachsen

Es geschehen doch immer wieder Wunder auf dieser Welt.

Die Angreifer der “Colonial Pipeline” ziehen sich zurück.

Na ja – vielleicht hat es auch etwas damit zu tun, dass die Serverinfrastruktur nicht mehr erreichbar und das Geld verschwunden ist.

Brian Krebs hat dazu einen Artikel verfasst (Quelle: krebsonsecurity), den ich hier in deutscher Sprache zitieren möchte.

Die wichtigste Aussage befindet sich im letzten Absatz, einem Kommentar von Intel 471.

Wer also die Hoffnung hat, das würde sich irgendwie positiv auswirken – eher nicht.

Im Gegenteil werden besonders die KMU’s, die “kleinen und mittleren Unternehmen”, zukünftig zum Ziel werden.

So liest man es z.B. beim “Security Insider“.

Klar – die KMU’s treiben wesentlich weniger Aufwand im Bereich der IT-Sicherheit und im Informationsschutz und sind deshalb leichtere Ziele.

Nun aber die versprochene Übersetzung:

Das DarkSide Ransomware-Partnerprogramm, das für den sechstägigen Ausfall der Colonial Pipeline in dieser Woche verantwortlich war, der zu Treibstoffengpässen und Preisspitzen im ganzen Land führte, macht sich aus dem Staub. Die Verbrecherbande gab bekannt, dass sie ihren Betrieb einstellt, nachdem ihre Server beschlagnahmt wurden und jemand die Kryptowährung von einem Konto abzog, das die Gruppe zur Bezahlung von Partnern verwendet.

“Server wurden beschlagnahmt (Land nicht genannt), Geld von Werbetreibenden und Gründern wurde auf ein unbekanntes Konto übertragen,” liest eine Nachricht von einem Cybercrime-Forum auf dem russischen OSINT-Telegram-Kanal neu gepostet.

“Vor ein paar Stunden haben wir den Zugang zum öffentlichen Teil unserer Infrastruktur verloren”, heißt es in der Nachricht weiter und erklärt, dass der Ausfall seinen Victim-Shaming-Blog betraf, in dem gestohlene Daten von Opfern veröffentlicht werden, die sich weigern, ein Lösegeld zu zahlen.

“Der Hosting-Support gibt, abgesehen von Informationen ‘auf Anfrage von Strafverfolgungsbehörden’, keine weiteren Auskünfte”, so der DarkSide-Admin. “Außerdem wurden einige Stunden nach der Abhebung Gelder vom Zahlungsserver (unserem und dem der Kunden) an eine unbekannte Adresse abgehoben.”

Die DarkSide-Organisatoren sagten auch, dass sie Entschlüsselungs-Tools für alle Unternehmen freigeben, die erpresst wurden, aber noch nicht gezahlt haben.

“Danach steht es Ihnen frei, mit ihnen zu kommunizieren, wo immer Sie wollen, auf jede Art und Weise, die Sie wollen”, hieß es in den Anweisungen.

Die DarkSide-Nachricht enthält Passagen, die offenbar aus der Feder eines Leiters der Ransomware-as-a-Service-Plattform REvil stammen. Dies ist interessant, da Sicherheitsexperten die Vermutung geäußert haben, dass viele der Kernmitglieder von DarkSide eng mit der REvil-Bande verbunden sind.

Der REvil-Vertreter sagte, dass sein Programm neue Beschränkungen für die Art von Organisationen einführt, für die Partner Lösegeld verlangen können, und dass es von nun an verboten sein wird, Organisationen im “sozialen Sektor” (definiert als Gesundheits- und Bildungseinrichtungen) und Organisationen im “Regierungssektor” (Staat) eines Landes anzugreifen. Außerdem müssen die Partner eine Genehmigung einholen, bevor sie ihre Opfer infizieren.

Die neuen Einschränkungen kamen, als einige russische Cybercrime-Foren begannen, sich von Ransomware-Operationen insgesamt zu distanzieren. Am Donnerstag kündigte der Administrator des beliebten russischen Forums XSS an, dass die Community keine Diskussionsthreads über Ransomware-Programme mehr zulassen würde, um Geld zu verdienen.

“Es gibt zu viel Publicity”, erklärte der XSS-Administrator. “Ransomware hat eine kritische Masse an Unsinn, Bullshit, Hype und Getue um sich herum angesammelt. Das Wort “Ransomware” wurde auf eine Stufe mit einer Reihe unangenehmer Phänomene gestellt, wie geopolitische Spannungen, Erpressung und von der Regierung unterstützte Hacks. Dieses Wort ist gefährlich und giftig geworden.”

In einem Blog-Beitrag zur DarkSide-Schließung sagte das Cyber-Intelligence-Unternehmen Intel 471, dass es glaubt, dass all diese Aktionen direkt mit den Reaktionen im Zusammenhang mit den hochkarätigen Ransomware-Angriffen, über die die Medien in dieser Woche berichteten, in Verbindung gebracht werden können.

“Allerdings sollten diese Entwicklungen mit einem starken Vorbehalt versehen werden: Es ist wahrscheinlich, dass diese Ransomware-Betreiber eher versuchen, sich aus dem Rampenlicht zurückzuziehen, als dass sie plötzlich den Fehler ihres Weges entdecken”, schrieb Intel 471. “Einige der Betreiber werden höchstwahrscheinlich in ihren eigenen geschlossenen Gruppen operieren und unter neuen Namen und aktualisierten Ransomware-Varianten wieder auftauchen. Darüber hinaus werden die Betreiber einen neuen Weg finden müssen, um die Kryptowährung zu “waschen”, die sie aus Lösegeldern verdienen. Intel 471 hat beobachtet, dass BitMix, ein beliebter Dienst zum Mischen von Kryptowährungen, der von Avaddon, DarkSide und REvil verwendet wurde, angeblich den Betrieb eingestellt hat. Mehrere angebliche Kunden des Dienstes berichteten, dass sie in der letzten Woche nicht auf BitMix zugreifen konnten.”

Übersetzt mit www.DeepL.com/Translator (kostenlose Version)