DarkSide Ransomware Hit Colonial Pipeline – und
erstellt eine unheilige Mess
colonial pipeline
Die Gruppe sagte am Montag, dass es "Moderation" zu seinem
Ransomware-as-a-Service-Modell einführen würde. Foto: Luke
Sharrett/Bloomberg/Getty Images
Nach einer Ransomware Ende vergangener Woche haben colonial Pipeline und
die US-Regierung versucht, den Betrieb einer Pipeline
wiederherzustellen, die fast die Hälfte des Treibstoffs der Ostküste
liefert. Der Täter, nach dem FBI, ist die berüchtigte und dreiste
Ransomware-Bande bekannt als DarkSide. Und die Auswirkungen ihres
Angriffs könnten weit über das hinausgehen, was sie beabsichtigten.
Colonial Pipeline sagt, dass sie hofft, den vollen Service bis Ende der
Woche wiederherzustellen; In der Zwischenzeit veröffentlichte das
Verkehrsministerium am Sonntag einen Notbefehl, um eine erweiterte
Ölverteilung per LKW zu ermöglichen. Aber die tatsächlichen Auswirkungen
des Angriffs kann in der Welt der Ransomware zu spüren sein. Während
eine Reihe von Hackern seit langem anarchische Targeting, einschließlich
einer schrecklichen Ausschlag von Angriffen auf Krankenhäuser im letzten
Herbst engagiert, enge Beobachter sagen, dass die Pipeline Vorfall
könnte endlich einen Wendepunkt darstellen.
DarkSide tauchte im vergangenen August auf und kündigte sich mit einem
Furnier von Professionalität und Effizienz an. Damals verpflichtete sie
sich, keine Gesundheitsdienstleister, Schulen oder Unternehmen ins
Visier zu nehmen, die es sich nicht leisten konnten, zu zahlen. Ein paar
Monate später machte die Gruppe eine Reihe von wohltätigen Spenden,Teil
eines langjährigen Versuchs, ihren Ruf zu verwalten. Aber als
Ransomware-as-a-Service-Operation, DarkSide arbeitet weitgehend auf
einem Affiliate-Modell, Ausleihen seiner Ransomware und Infrastruktur an
kriminelle Kunden und nehmen einen Schnitt von dem, was Kunden in ihren
Angriffen verdienen. Am Montag, als der Druck von den
US-Strafverfolgungsbehörden und dem Weißen Haus selbst aufkam, schien
DarkSide den Colonial Pipeline Hack auf seine Tochtergesellschaften zu
beschuldigen und versprach, die Kriminellen, mit dem sie Verträge
schließt, gründlicher zu untersuchen.
"Wir sind unpolitisch, wir beteiligen uns nicht an Geopolitik", schrieb
DarkSide am Montag. "Unser Ziel ist es, Geld zu verdienen und keine
Probleme für die Gesellschaft zu schaffen. Ab heute führen wir
Moderation ein und überprüfen jedes Unternehmen, das unsere Partner
verschlüsseln wollen, um soziale Folgen in der Zukunft zu vermeiden."
Die Erklärung erinnert an jede Branche, die die Selbstpolizei als
Alternative zur staatlichen Regulierung verspricht. Aber selbst wenn Sie
DarkSide beim Wort nehmen könnten, ist die Implikation, dass es
irgendwie akzeptabel ist, bestimmte Organisationen mit Ransomware
anzusprechen, wenn sie sorgfältig ausgewählt werden.
"Die Idee, dass Ransomware-Betreiber entscheiden sollten, wer es wert
ist, kompromittiert zu werden, ist, gelinde gesagt, äußerst
problematisch", sagt Katie Nickels, Leiterin der Nachrichtendienste bei
der Sicherheitsfirma Red Canary. "Das ist absurd."
DarkSides zweifelhaftes Versprechen, sich selbst zu regulieren, geht
wahrscheinlich auf Bedenken zurück, dass das Hacken eines kritischen
Infrastrukturunternehmens und letztlich die Folge eines
Massendienstausfalls eine rote Linie überschritten – ob DarkSide oder
einer seiner Kunden den Angriff tatsächlich verübt hat.
"Ich bin nicht überrascht, dass dies geschehen ist. Es war
realistischerweise nur eine Frage der Zeit, bis es einen großen
kritischen Infrastruktur-Ransomware-Vorfall gab", sagt Brett Callow,
Bedrohungsanalyst beim Antiviren-Unternehmen Emsisoft. "DarkSide scheint
erkannt zu haben, dass dieses Maß an Aufmerksamkeit keine gute Sache ist
und Regierungen zum Handeln bringen könnte. Sie könnten jetzt bei
kleineren Angriffen bleiben, in der Hoffnung, dass sie länger Weiter
geldverdienen können."
Callow und andere Forscher betonen jedoch, dass es schwierig ist,
sinnvolle Abschreckung zu erzeugen, wenn es um Ransomware und
Cyberangriffe im Allgemeinen geht. Selbst nach wiederholten Weckrufen
und Ransomware-bedingten Katastrophen haben die Regierungen nicht
genügend Dringlichkeit gezeigt, um das Problem zu lösen.
"Eine der größten Herausforderungen bei der Cyber-Abschreckung ist die
Zuschreibung, und das sieht man in dieser Situation", sagt Nickels von
Red Canary. "Es gibt die Ransomware-Entwickler, ihre verbundenen
Unternehmen und Kunden, und Gastländer, die ihr Verhalten ignorieren.
Wer ist schuld?
Wen müssen Sie abschrecken?"
https://www.wired.com/story/darkside-ransomware-colonial-pipeline-response/?
DarkSide Ransomware Hit Colonial Pipeline—and Created an Unholy Mess |
WIRED