Nach einem Angriff der Ransomware-Gruppe Darkside auf eine Pipeline-Betreiberfirma in den USA hat der Sicherheitsexperte Kaspersky auch vor einem Anstieg der Angriffe in Deutschland gewarnt.

Die Ransomware-Gruppe Darkside hatte am vergangenen Freitag eine der größten Benzin-Pipelines in den USA vorübergehend stillgelegt, indem sie in das Netzwerk des Betreibers Colonial eingedrungen waren und dort Rechner verschlüsselt hatten. Die vom Betreiber vorsorglich stillgelegte Pipeline versorgt die Ostküste der USA mit Triebstoffen und Heizöl. Die Pipeline soll bis Ende der Woche wieder in Betrieb gehen, hat der Betreiber mitgeteilt.

Vladimir Kuskov, Head of Threat Exploration bei Kaspersky hat sich mit Darkside beschäftigt und teilt mit, dass es eine typische Gruppe von Cyberkriminellen, deren Ziel es sei, Geld zu verdienen. Darkside arbeite über Affiliate-Partner-Programme und bieten ihre Ransomware „Partnern“ an, die wiederum den Zugriff auf Organisationen von anderen Hackern kaufen und diesen dann zur Bereitstellung von Ransomware nutzen, teilt Kuskov mit. Im Gegensatz zu einigen anderen Gruppen behaupte Darkside, einen Verhaltenskodex zu haben: Krankenhäuser, Schulen, Regierungsinstitutionen und nichtkommerzielle Organisationen würden sie nicht angreifen, heiße es auf der Webseite von Darkside im Darknet. Im Fall der Pipeline habe Darkside zusätzlich noch eine Erklärung auf der Homepage veröffentlicht, in der es hieß, man habe nach dem Angriff auf die Colonial Pipeline keine derart weitreichenden Konsequenzen und solch eine hohe Aufmerksamkeit erwartet. Die Einführung einer Art „Moderation“ solle künftig ähnliche Situationen vermeiden, habe Darkside wissen lassen.

Laut Kuskov gibt zwei Versionen der Darkside-Ransomware, eine für Windows und eine für Linux. Beide Versionen verfügten über ein sicheres kryptografisches Schema, sodass eine Entschlüsselung ohne Key nicht möglich sei, so Kuskov. In der Vergangenheit seien aber für mehrere Opfer dieselben Schlüssel verwendet worden, was Sicherheitsunternehmen in die Lage versetzt habe, ein passendes Entschlüsselungstool zu erstellen, mit dem die Opfer ihre Dateien wiederherstellen konnten, ohne Lösegeld zu zahlen, so Kuskov. Darkside habe darauf im Darknet-Forum reagiert, so dass Betroffene jetzt diese Möglichkeit leider nicht mehr zur Verfügung sehe.

Kaspersky sieht die Zahl der zielgerichteten Ransomware-Angriffe stark ansteigen. Die Anzahl sei von 2019 bis 2020 um 767 Prozent gestiegen, teilt Kaspersky mit. Es seien auch immer mehr Angriffe auf Industrieunternehmen in Deutschland zu beobachten. Im zweiten Halbjahr 2020 seien 33 Prozent mehr Ransomware und 43 Prozent mehr schädliche Dokumente innerhalb industrieller Kontrollsysteme blockiert worden als noch im ersten Halbjahr, so Kaspersky.