DarkSide Ransomware erleidet “Oh, Mist!”-Serverabschaltungen

Cyber Security News

Das RaaS, das Colonial Pipeline lahmgelegt hat, hat die Server verloren, die es für Ransomware-Angriffe verwendet, während REvils Keimdrüsen daraufhin geschrumpft sind.

DarkSide, die Ransomware-as-a-server (RaaS) Bande, die Colonial Pipeline Co. vor einer Woche lahmgelegt hat, etwa 5 Millionen Dollar erpresste und dem Kraftstoffunternehmen ein Entschlüsselungstool schickte, das Berichten zufolge kaum durch den Prozess des Entsperrens von Dateien humpeln konnte, ist jetzt selbst gelähmt.

In den frühen Stunden des Freitagmorgens, DarkSide, nach seinem eigenen Versprechen zu “sprechen ehrlich und offen” über Probleme, lief durch eine Wäscherei Liste von ihnen. In einem Posting in einem Untergrundforum, das von Kaspersky-Forschern beobachtet und mit Threatpost geteilt wurde, erklärte DarkSide, dass es den Zugang zum öffentlichen Teil seiner Infrastruktur verloren habe: Insbesondere die Server für den Blog, die Zahlungsabwicklung und Denial-of-Service (DoS)-Operationen seien beschlagnahmt worden.

DarkSide gab nicht an, in welchem Land diese Server betrieben wurden oder wessen Strafverfolgungsbehörden sie beschlagnahmten.

Laden Sie “The Evolution of Ransomware” herunter, um wertvolle Einblicke in aufkommende Trends inmitten eines schnell wachsenden Angriffsvolumens zu erhalten. Klicken Sie oben, um Ihre Verteidigungsintelligenz zu verbessern!

“Seit der ersten Version haben wir versprochen, ehrlich und offen über Probleme zu sprechen”, schrieb die Bande in einem Beitrag in einem Untergrundforum und sagte, dass das von den Gründern und Partnern der Bande gesammelte Geld auf ein unbekanntes Konto überwiesen wurde.

“Jetzt sind diese Server über SSH nicht erreichbar, die Hosting-Panels sind blockiert”, sagte DarkSide. “Der Hosting-Support gibt, abgesehen von Informationen ‘auf Anfrage der Strafverfolgungsbehörden’, keine weiteren Informationen.”

REvil schwitzt Kugeln

Der Takedown von DarkSide schickte Schockwellen durch andere Untergrundforen, von denen viele alle Ransomware-Themen löschten. Wie Forscher beobachteten, sah sich DarkSides RaaS-Kollege REvil gezwungen, seine eigenen neuen Einschränkungen einzuführen.

Die REvil-Gang kündigte an, dass sie eine Vormoderation für ihr Partnernetzwerk einführt, und sagte, dass sie jeden Versuch verbieten würde, Regierungs-, öffentliche, Bildungs- oder Gesundheitsorganisationen anzugreifen.

Die Hintermänner von REvil kommentierten die Erfahrung von DarkSide und sagten, dass sie “gezwungen” seien, diese “bedeutenden neuen Einschränkungen” einzuführen: Die Arbeit im sozialen Bereich (Gesundheitswesen, Bildungseinrichtungen) ist verboten; Die Arbeit im staatlichen Sektor (Staat) ist verboten; Vor dem Spacer wird das Ziel mit der PP-Verwaltung abgestimmt: Schreiben Sie die Beschreibung des Ziels, seine Website, Zoom-Infos usw., usw;

Zuwiderhandelnde werden rausgeschmissen, sagte REvil und bezog sich dabei auf das kostenlose Verteilen von “desh”. Das ist wahrscheinlich eine Anspielung auf “deshirfrator”, oder “decryptor” auf Russisch: Die Werkzeuge, die typischerweise so weit von kostenlos sind, wie Ransomware-Angreifer sie machen können. Ransomware-Akteure versprechen ihren Opfern diese Tools im Gegenzug für Erpressungsgelder, die viele Unternehmen in dem oft vergeblichen Glauben überweisen, dass sie ihre Dateien entsperren können.

REvil sagte auch, dass es wahrscheinlich alle seine eigenen Ransomware-Themen aus den Untergrundforen löschen und “ins Private gehen” wird. Die Gruppe forderte ihr Publikum dazu auf, “ein wenig aktiver zu sein” und “Kontakt in [private messages].”

Was ist das, die RaaS-Reformation?

DarkSide selbst leitete diese Welle der RaaS-Rückzieher Anfang dieser Woche ein, als der Bedrohungsakteur erklärte, er sei nur auf Profit aus und habe nicht die Absicht, politische, wirtschaftliche oder soziale Störungen zu verursachen. Unser Fehler, sagten sie: Wir waren nur auf Geld aus, nicht auf die Zerstörung der Infrastruktur der Nation. Wir werden unsere kriminellen Kunden in Zukunft besser überprüfen, versprachen sie und nannten den Angriff auf die Colonial Pipeline “ein sehr großes ‘oops’.”

Es war in der Tat ein sehr großes ‘oops’, mit Wellen, die sich noch eine Woche später ausbreiten. Colonial Pipeline, der Lieferant von etwa 45 Prozent des im Süden und Osten der USA verbrauchten Flüssigbrennstoffs, schaltete nach dem Ransomware-Angriff vor einer Woche proaktiv seine Brennstofflieferungen ab. Sie blieben fünf Tage lang außer Betrieb und wurden erst am Mittwoch wieder zum Leben erweckt. Die Gasverknappung und die Preisspitzen gehen derweil weiter.

Ebenfalls am Mittwoch unterzeichnete Präsident Biden einen Erlass, der die Cyberabwehr der Bundesregierung stärken soll. Schon jetzt hat die Regierung mit einer Reihe von digitalen Angriffen zu kämpfen, darunter SolarWinds.

Auf jeden Fall ist dies nicht das erste Mal, dass DarkSide einen Fall von Skrupellosigkeit hat. Im Oktober versuchte es, 20.000 Dollar an Spenden an Wohltätigkeitsorganisationen zu schicken, in einer “Wir sind eigentlich die Guten”-Display, die wahrscheinlich die Aufmerksamkeit auf zukünftige Daten-Dumps lenken sollte, wie Experten damals sagten. Es war eine leere Geste: Die Wohltätigkeitsorganisationen – The Water Project und Children International – lehnten das Geld ab.

Und vor dem Angriff auf die Colonial Pipeline hatte DarkSide, wie ähnliche Möchtegern-Robin Hoods, bereits einen Ethik-Kodex, der Angriffe auf Krankenhäuser, Hospize, Schulen, Universitäten, gemeinnützige Organisationen und Regierungsbehörden verbot – ähnlich wie der neue Ethik-Schleier von REvil.

Als die Babuk-Bande zum ersten Mal aus dem Dreck kroch, stellte auch sie sich als eine Bande mit Moral dar. Die Babuk-Betreiber sagten auch, sie würden keine Krankenhäuser, Non-Profit-Organisationen (es sei denn, sie unterstützen LGBT oder Black Lives Matter, was vermutlich ihre Voreingenommenheit demonstriert), kleine Unternehmen (unter 4 Millionen Dollar Jahresumsatz) angreifen: Daten, die sie angeblich vom Geschäftsinformationsdienst ZoomInfo gesammelt haben) und Schulen (mit Ausnahme von Universitäten). Alle anderen waren Freiwild, einschließlich plastischer Chirurgie und Zahnkliniken (was vermutlich zeigt, dass die Betreiber möglicherweise unter schlechter Zahnbehandlung oder verpfuschten Bauchstraffungen gelitten haben), und große Universitäten.

Nachdem Babuk im April das Washington D.C. Metropolitan Police Department angegriffen hatte, erklärte Randy Pargman, ein 15-jähriger FBI-Veteran und derzeitiger Vizepräsident für Bedrohungsjagd und Spionageabwehr bei Binary Defense und langjähriger Babuk-Verfolger, gegenüber Threatpost, dass die Betreiber hinter dem RaaS-Angebot diese Einrichtungen entweder wirklich nicht angreifen wollen, oder dass sie nur ein öffentliches Gesicht aufsetzen, um der Welt zu sagen: Hey, wir sind gar nicht so schlimm.

Nur weil ein Ransomware-Anbieter einen Ethikkodex hat, heißt das noch lange nicht, dass sich alle seine Partner daran halten. Zu Beginn der Pandemie verpflichteten sich mehrere Ransomware-Banden, Krankenhäuser wegen der anhaltenden COVID-19-Geißel zu verschonen. Die Gruppen Maze und DoppelPaymer beispielsweise erklärten, sie würden keine medizinischen Einrichtungen angreifen und im Falle eines versehentlichen Angriffs die Entschlüsselungsschlüssel kostenlos zur Verfügung stellen. Die Betreiber von Netwalker erklärten ebenfalls, dass sie keine Krankenhäuser angreifen würden. Sollten sie jedoch versehentlich getroffen werden, müsste das Krankenhaus trotzdem das Lösegeld zahlen.

Diese Versprechen wurden nicht eingehalten: Cyberkriminelle haben keine medizinischen Fachkräfte, Krankenhäuser oder Gesundheitsorganisationen an der Front der Coronavirus-Pandemie ausgenommen, wenn es um Cyberangriffe, einschließlich Ransomware und anderer Malware, geht, und es gibt wenig Grund zu der Annahme, dass der neue Ethikkodex von REvil anders sein wird.

Einige Gruppen geben nicht einmal vor, einen Anschein von Ehre zu haben: Im September berichteten Mitarbeiter von Universal Health Services (UHS), einem Fortune-500-Unternehmen, das ein landesweites Netzwerk von Krankenhäusern besitzt, von weit verbreiteten Ausfällen, die zu verzögerten Laborergebnissen, einem Rückgriff auf Stift und Papier und der Verlegung von Patienten in andere Krankenhäuser führten. Als Übeltäter entpuppte sich die Ryuk-Ransomware, die die Krankenhaussysteme tagelang lahmlegte. Diese Gruppe hat nie einen Versuch unternommen, ein Gewissen zu zeigen.

Laden Sie unser exklusives KOSTENLOSES Threatpost Insider eBook “2021: The Evolution of Ransomware” (Die Entwicklung von Ransomware), um Ihre Cyber-Abwehrstrategien gegen diese wachsende Geißel zu verbessern. Wir gehen über den Status quo hinaus und decken auf, was als Nächstes auf Ransomware und die damit verbundenen neuen Risiken zukommt. Lesen Sie die ganze Geschichte und DOWNLOADen Sie das eBook jetzt – bei uns!

Einige Teile dieses Artikels stammen aus:
threatpost.com