DarkSide trifft Toshiba; XSS-Forum verbietet Ransomware

Cyber Security News

Das kriminelle Forum wusch seine Hände in Bezug auf Ransomware nach dem Pipeline-Angriff von DarkSide & angebliche Abschaltung: Ein “Verlust von Servern”, der einen weiteren Angriff nicht verhindert hat.

Für eine Ransomware-Bande, deren Server angeblich letzte Woche beschlagnahmt wurden, hat DarkSide ein serverlastiges Wochenende hinter sich, mit einem angeblichen Angriff auf Toshiba Business.

Am späten Donnerstagabend wurde ein Beitrag im “Exploit”-Untergrundforum veröffentlicht, der zumindest den Anschein erweckte, von DarkSide zu stammen. Darin wurde beschrieben, wie die Blog-, Zahlungsverarbeitungs- und Denial-of-Service (DoS)-Server der Bande beschlagnahmt worden waren.

Spulen Sie drei Tage vor, und es sieht nicht so aus, als wäre DarkSide tot im Wasser. Die Aussage vom Freitag wurde Berichten zufolge gelöscht. Laut der Sicherheitsfirma Flashpoint, einige Mitglieder der U-Bahn-Forum in Frage gestellt, ob der Beitrag eine Fälschung gewesen sein könnte.

Laden Sie “The Evolution of Ransomware” herunter, um wertvolle Einblicke in aufkommende Trends inmitten eines schnell wachsenden Angriffsvolumens zu erhalten. Klicken Sie oben, um Ihre Verteidigungsintelligenz zu verbessern!

DarkSide ist in den Schlagzeilen, seit es vor 10 Tagen den Betrieb der Colonial Pipeline Co. lahmlegte, die Gaspreise in die Höhe trieb und einen Ansturm auf die Vorräte auslöste.

Die Gruppe erpresste bei diesem Vorfall rund 5 Millionen Dollar und schickte dem großen Treibstofflieferanten im Gegenzug ein Entschlüsselungstool, das Berichten zufolge kaum durch den Prozess des Entsperrens von Dateien humpeln konnte. Einen Tag bevor “DarkSide” – oder wer auch immer es war – den “lost-our-servers”-Post veröffentlichte, sagte Präsident Joe Biden in einer Durchführungsverordnung, dass die USA plant, das Ransomware-Netzwerk zu stören.

Hat DarkSide’s Server Funken zurück zum Leben und schnappen Toshiba?

Es besteht immer die Möglichkeit, dass der Post mit den verlorenen Servern ein Exit-Betrug war oder zumindest in irgendeiner Weise gefälscht – eine Möglichkeit, die durch die jüngsten Aktivitäten gestützt wird. Am Freitag bestätigte die Toshiba Tec Group – der Zweig von Toshiba, der Scanner, Drucker und andere Geschäftsgeräte herstellt -, dass ihre europäischen Tochtergesellschaften beschlagnahmt worden sind.

Die Untersuchung von Toshiba hat ergeben, dass der Angriff auf einige Regionen in Europa beschränkt war, aber nicht bestätigt, ob Kundeninformationen durchgesickert sind oder nicht.

Es scheint ein weiterer DarkSide-Job zu sein. Laut Screenshots der Erpressernachricht, die Reuters von Mitsui Bussan Secure Directions – einem Vertreter von Toshibas französischer Tochtergesellschaft – zur Verfügung gestellt wurden, wurden mehr als 740 Gigabyte an Informationen kompromittiert, darunter Pässe und andere persönliche Daten.

Was den Zahlungsabwicklungsserver von DarkSide betrifft, so war dieser seit letzter Woche wieder in Betrieb: Die Gruppe hat eine Erpressungszahlung in Höhe von 4,4 Millionen Dollar von einem Chemielieferanten erhalten. Wie Bleeping Computer berichtete, wurde Brenntag – ein großes Chemievertriebsunternehmen mit Hauptsitz in Deutschland, aber weltweit über 17.000 Mitarbeitern an mehr als 670 Standorten – Opfer eines Ransomware-Angriffs, der auf die nordamerikanische Abteilung abzielte. Die Angreifer behaupteten, dass sie 150 GB an Daten gestohlen hätten.

DarkSide forderte zunächst ein Lösegeld in Höhe von 133,65 Bitcoin – etwa 7,5 Millionen Dollar – als es das Unternehmen Anfang Mai angriff. Die Quellen von BleepingComputer erzählten dem Outlet, dass Brenntag die Erpressungsgebühr auf 4,4 Millionen Dollar heruntergehandelt hat, die am Dienstag, den 11. Mai, bezahlt wurden. Die Steckdose bestätigt, dass das Geld ging in eine Bitcoin-Adresse seine Quellen mit ihm geteilt.

“Brenntag North America arbeitet derzeit daran, einen begrenzten Informationssicherheitsvorfall zu lösen”, sagte Brenntag am Donnerstag gegenüber BleepingComputer. “Sobald wir von diesem Vorfall erfahren haben, haben wir die betroffenen Systeme vom Netzwerk getrennt, um die Bedrohung einzudämmen.

“Außerdem wurden sofort externe Cybersecurity- und Forensik-Experten engagiert, um bei den Ermittlungen zu helfen. Wir haben auch die Strafverfolgungsbehörden über diesen Vorfall informiert.”

Das DarkSide-Statement, das seither *Poof* verschwunden ist

Laut Flashpoint hat UNKN – der Sprecher von DarkSides RaaS-Kollegen REvil – am Donnerstagabend einen Beitrag im hochrangigen russischsprachigen Forum Exploit veröffentlicht, in dem er DarkSides vorherigen, inzwischen gelöschten Beitrag zitiert. Übersetzt aus dem Russischen ins Englische, die Aussage gelesen:

Seit der ersten Version haben wir versprochen, ehrlich und offen über Probleme zu sprechen. Vor ein paar Stunden haben wir den Zugang zum öffentlichen Teil unserer Infrastruktur verloren, nämlich:

Blog.

Zahlungsserver.

DOS-Server.

Nun sind diese Server über SSH nicht erreichbar, die Hosting-Panels sind gesperrt. Der Hosting-Support gibt, abgesehen von Informationen “auf Anfrage der Strafverfolgungsbehörden”, keine weiteren Auskünfte.

Außerdem wurden ein paar Stunden nach der Abhebung Gelder vom Zahlungsserver (unserem und dem der Kunden) an eine unbekannte Adresse abgehoben.

DarkSide, andere Gangs vom XSS-Forum verbannt

Die Hitze, die durch die Pipeline-Attacke – ein Angriff auf kritische US-Infrastruktur – erzeugt wurde, hat den Ransomware-Kollektiven die falsche Aufmerksamkeit beschert. Infolgedessen sah sich der RaaS-Kollege von DarkSide, REvil, gezwungen, neue Einschränkungen für seine Arbeitsweise einzuführen.

Die REvil-Gang kündigte am Freitag an, dass sie eine Vormoderation für ihr Partnernetzwerk einführt und sagte, dass sie jeden Versuch verbieten würde, Regierungs-, öffentliche, Bildungs- oder Gesundheitsorganisationen anzugreifen. Unter Bezugnahme auf die Erfahrungen von DarkSide sagten die Hintermänner von REvil, dass die Gruppe “gezwungen war,” diese “bedeutenden neuen Beschränkungen einzuführen”, und versprachen, dass Partner, die gegen die neuen Regeln verstoßen, rausgeschmissen werden und dass sie Entschlüsselungs-Tools kostenlos herausgeben würden.

XSS sagt: Keine Ransomware mehr

Es ist nicht das einzige, das mit neuen Regeln aufwartet: Laut Flashpoint-Forschern hat auch das russischsprachige Cyberkriminellen-Forum XSS angekündigt, alle Ransomware-Aktivitäten zu ächten, einschließlich Ransomware-Affiliate-Programmen, Ransomware zum Mieten und dem Verkauf von Ransomware-Software.

Das könnte ein großer Schlag für die Ransomware-Wirtschaft sein, da XSS ein wichtiges Forum für die Werbung von Affiliates war. Einige der größten Ransomware-Anbieter sind auf dem Forum aktiv, so die Forscher, darunter Babuk, DarkSide, LockBit, Nefilim, Netwalker und REvil.

Eine ‘kritische Masse von Unsinn, Hype und Lärm’

Der XSS-Admin sagte angeblich, dass der Ransomware-Ausschluss teilweise auf ideologischen Differenzen zwischen dem Forum und den Ransomware-Betreibern beruht. Die Aufmerksamkeit durch hochkarätige Vorfälle wie die Pipeline-Attacke sei ebenfalls sehr unwillkommen, so der Admin, und habe zu einer “kritischen Masse von Unsinn, Hype und Lärm” geführt. Ransomware-Kollektive und ihre begleitenden Angriffe erzeugen “zu viel PR”, sagte der XSS-Admin, und erhöhen die geopolitischen und gesetzgeberischen Risiken zu einer “Gefahr[ous] Level”.

Gefährlich, wie in, vielleicht den russischen Präsidenten Wladimir Putin in eine unangenehme Lage zu bringen: Der Admin von XSS behauptete auch, dass, wenn “Peskov [the Press Secretary for the President of Russia, Vladimir Putin] gezwungen ist, sich vor unseren ‘Freunden’ in Übersee zu entschuldigen – das ist ein bisschen zu viel”, so der XSS-Admin. Der Admin fügte einen Link zu einem Artikel auf der russischen Nachrichten-Website Kommersant mit dem Titel “Russland hat nichts mit Hacking-Angriffen auf eine Pipeline in den Vereinigten Staaten zu tun.”

Was kommt als nächstes für DarkSide?

Stefano De Blasi, ein Bedrohungsforscher für Digital Shadows, sagte, dass es nicht überraschend ist, Nachrichten über DarkSide-Operationen zu sehen, obwohl die Infrastruktur der kriminellen Gruppe angeblich ausgeschaltet wurde.

“Eine plausible Erklärung für dieses Phänomen ist, dass DarkSide-Mitglieder wahrscheinlich mehrere Ziele gleichzeitig verschlüsselt haben und dass einige dieser Opfer erst einige Tage später mit ihrem Angriff an die Öffentlichkeit gehen”, kommentierte er am Montag gegenüber Threatpost. “Zum Beispiel hat ein Sprecher von Toshiba angegeben, dass das Unternehmen diesen Ransomware-Angriff am 4. Mai erlitten hat, nur drei Tage vor dem von Colonial Pipeline.”

De Blasi sagte per E-Mail, dass es “realistisch möglich” sei, dass die Abschaltung von DarkSide zwar Teil einer Strategie sei, um weiteren Druck seitens der Strafverfolgungsbehörden zu vermeiden, es aber “unwahrscheinlich ist, dass DarkSide seinen Betrieb sofort wieder aufnimmt, ohne sich etwas Zeit zu lassen, um die Dinge zu beruhigen.”

So könnten wir zwar in Zukunft von weiteren Verschlüsselungsaktionen von DarkSide hören, aber es ist wahrscheinlich, dass sie es vermeiden werden, in der unmittelbaren Folge des Angriffs auf die Colonial Pipeline weitere Unternehmen anzugreifen, sagte er.

Laden Sie unser exklusives KOSTENLOSES Threatpost Insider eBook “2021: The Evolution of Ransomware” (Die Entwicklung von Ransomware), um Ihre Cyber-Abwehrstrategien gegen diese wachsende Geißel zu verbessern. Wir gehen über den Status quo hinaus und decken auf, was als Nächstes auf Ransomware und die damit verbundenen neuen Risiken zukommt. Lesen Sie die ganze Geschichte und DOWNLOADen Sie das eBook jetzt – bei uns!

Einige Teile dieses Artikels stammen aus:
threatpost.com