Carbon Spiders Abkehr von Angriffskampagnen gegen POS-Systeme ist laut CrowdStrike ein Beispiel für einen breiteren Trend, dass Cyberkriminelle ihre Tätigkeitsfelder verlagern und sich auf potenziell sehr einträgliche Ziele konzentrieren. Zielgerichtete Ransomware-Angriffe haben sich in den vergangenen Jahren gehäuft, wie Kaspersky-Analysen zeigen: Ihre Anzahl ist laut dem russischen Sicherheitsanbieter von 2019 bis 2020 um 767 Prozent gestiegen. Teil dieses Trends sind laut Kaspersky-Angaben immer mehr Angriffe auf Industrieunternehmen, dies betreffe auch Deutschland.
„DarkSide ist eine typische Gruppe von Cyberkriminellen, die am ‚Big Game Hunting‘ beteiligt ist“, erläutert Vladimir Kuskov, Head of Threat Exploration bei Kaspersky. Die Angreifer arbeiten laut Erkenntnissen von Kaspersky wie auch von CrowdStrike über Affiliate-Partner-Programme, bieten also „Ransomware as a Service“ für „Partner“, die wiederum den Zugriff auf Organisationen von anderen Hackern kaufen und diesen dann für ihre Erpressungskampagne nutzen.
Der britische Security-Spezialist Sophos spricht in seinem Report zu DarkSide von einem regelrechten „Affiliate-Programm“. „DarkSide tritt in die Fußstapfen von Ransomware-Betreibern mit doppelter Erpressung wie REvil, Maze und LockBit – es infiltriert Geschäftsdaten, bevor es sie verschlüsselt, und droht mit der Veröffentlichung, wenn die Opfer nicht für einen Entschlüsselungs-Key zahlen“, so Sophos.
Im Gegensatz zu manchen anderen Gruppen behauptet DarkSide/Carbon Spider, einen Verhaltenskodex zu haben: Man greife keine Krankenhäuser, Schulen, Regierungsinstitutionen oder gemeinnützige Organisationen an. Über die politische Dimension des Angriffs auf den Pipeline-Betreiber gab sich die Angreifergruppe überrascht. So hat sie kurz nach Bekanntwerden des Angriffs eine Erklärung auf ihrer Homepage veröffentlicht: Man sei ausschließlich am Geld interessiert und habe nicht mit derart weitreichenden Konsequenzen des Angriffs gerechnet. Die Kriminellen gaben an, gegenüber ihren Partnern Maßnahmen zur „Moderation“ ergreifen zu wollen, um ähnliche Situationen künftig zu vermeiden.
Dies sieht Kaspersky-Forscher Roman Dedenok skeptisch: „Das Ziel von DarkSide ist es, so viel Online-Rummel wie möglich zu erzeugen. Mehr Aufmerksamkeit in den Medien könnte dazu führen, dass sich die Angst vor DarkSide weiter ausbreitet, was möglicherweise bedeutet, dass sich das nächste Opfer dazu entschließt, einfach zu zahlen, anstatt Ärger zu machen.“
In der Tat gehen die Erpresser inzwischen nicht nur sehr zielstrebig, sondern auch sehr raffiniert vor. Ein kleines Indiz: Um den Druck bei der Erpressung zu erhöhen, hat die Gruppe zum Beispiel einen automatischen Countdown-Timer erstellt, der die Zeit bis zur Verdopplung der Lösegeldforderung und der Veröffentlichung von Daten anzeigt.
Laut CNN haben die Colonial-Erpresser nicht die OT-Systeme selbst kompromittiert, sondern die Abrechnungssoftware. Der Pipeline-Betreiber konnte so nicht mehr zuordnen, wer wie viel Benzin oder Kerosin erhalten hatte. Laut Bloomberg hat das Unternehmen deshalb schon kurz nach dem Angriff fünf Millionen Dollar Lösegeld gezahlt, um wieder Zugriff auf seine Daten zu bekommen. Man habe daraufhin ein Entschlüsselungstool erhalten, die Daten aber dennoch aus dem Backup rekonstruiert, da dieses Tool sehr langsam gearbeitet habe, so die Nachrichtenagentur.
„Das Herunterfahren von OT-Umgebungen (Operational Technology, industrielle Betriebstechnik, d.Red.) kann Hunderte von Millionen Dollar kosten, was die Anbieter dazu zwingt, die Kosten aufzuwiegen“, erklärt Marty Edwards, VP of OT Security bei Tenable, einem weiteren US-Security-Spezialisten. „Wir sollten diese Gruppen nicht unterschätzen. Viele von ihnen verfügen mittlerweile über Helpdesks, technischen Support, Lohnabrechnungen und Subunternehmer. Sie sind im Wesentlichen vollwertige kriminelle Unternehmen, die in der digitalen Welt operieren.“
Es gibt laut Kaspersky-Angaben zwei Versionen der DarkSide-Ransomware: für Windows und Linux. Beide Versionen verfügen laut den Security-Fachleuten über ein sicheres kryptografisches Schema, sodass eine Entschlüsselung ohne Key nicht möglich ist. In der Vergangenheit habe die Gruppe zwar für mehrere Opfer dieselben Schlüssel verwendet, sodass Sicherheitsunternehmen ein Entschlüsselungs-Tool erstellen konnten; die Gruppe habe das aber längst abgestellt, sodass diese Möglichkeit nicht mehr bestehe.
Kaspersky betont, die hauseigene Sicherheitssoftware erkenne die DarkSide-Malware als Trojan-Ransom.Win32.Darkside und Trojan-Ransom.Linux.Darkside. Zum Schutz vor Ransomware-Angriffen rät der Security-Anbieter zu folgenden Maßnahmen:
„Ich fürchte, dass der Cyberangriff auf Colonial Pipeline nur ein Vorgeschmack auf die Zukunft der Cyberangriffe ist“, sagt Grant Geyer, CPO bei Claroty, einem israelisch-amerikanischen Spezialisten für industrielle Cybersicherheit. Industrieumgebungen laufen laut Geyer oft auf einer Infrastruktur, die mit veralteter Technologie arbeitet und sich nicht patchen lässt. „Zudem sind oftmals die Mitarbeiter technisch nicht so versiert, wie sie es sein müssten, um Angriffe erfolgreich abzuwehren,“ so Geyer. Dies führe zu einer Situation, in der das Sicherheitsrisiko „unakzeptabel hoch“ ist. „Und in einigen Fällen sind die Betreiber blind für dieses Risiko“, warnt er.
Eine interessante Lehre aus dem Colonial-Angriff ist: Die Bösen müssen gar nicht unbedingt die OT der kritischen Infrastruktur selbst lahmlegen; es reicht mitunter schon aus, lediglich die Abrechnungssoftware des Betreibers zu kompromittieren – zumindest wenn besagte kritische Infrastruktur in den Händen privatwirtschaftlicher Betreiber ist. Ob Cyberverbrechen oder Cyberkriegsführung: Daten sind für die Angreifer so oder so das neue Öl. Es gilt also, diesen wertvollen Rohstoff deutlich besser zu schützen als bisher, will man einen Flächenbrand vermeiden – oder auch nur die Etablierung einer Daten-Pipeline ins nicht ganz so freundlich gesinnte Ausland.