Von Sicherheitsforschern verfolgte DarkSide Ransomware-Partnerunternehmen

Der jüngste Cyberangriff auf die Colonial Pipeline sorgte in den USA für große Aufregung und veranlasste das FBI, neben anderen staatlichen Diensten und Cyber-Sicherheitsunternehmen, einzubeziehen. Nach dem Vorfall haben andere Sicherheitsexperten DarkSide und seine verbundenen Unternehmen mit schlechten Akteuren untersucht, da Colonial und das vom Kraftstoffversorger an Bord genommene Sicherheitsteam immer noch bemüht sind, den Pipeline-Betrieb wiederherzustellen und den Kraftstoff wieder in Richtung Ostküste fließen zu lassen.

DarkSide ist ein Bedrohungsschauspieler, der normalerweise edel wirkt und sogar einen Teil des Cyber-Lösegelds, das er erhält, für wohltätige Zwecke spendet. Trotz des Robin Hood-Umhangs, den DarkSide tragen möchte, sind die Ziele der Gruppe alles andere als nobel. DarkSide arbeitet mit einer in der zwielichtigen Welt der Malware üblichen Methode, die als "Ransomware as a Service" oder kurz RaaS bezeichnet wird. Bei diesem Modell lizenziert die Entität der obersten Ebene, in diesem Fall DarkSide, ihr Ransomware-Toolkit an Dritte.

Auf diese Weise können eine Reihe von schlechten Akteuren die Ransomware schwer verteilen und Infiltrationspunkte und Angriffsvektoren herausfinden. Sobald das Opfer infiziert wurde und sich zur Zahlung entschließt, teilen die Dritten, die den Angriff ausgeführt haben, das Lösegeld mit DarkSide auf.

Nach gängigen, legitimen Geschäftspraktiken scheint auch DarkSide eine immer geringere Kürzung vorzunehmen, je höher die Lösegeldauszahlung ist. ZDNet nennt eine 25% ige Kürzung in den Taschen von DarkSide mit kleineren Affiliate-Jobs. Der Anteil, den die Ransomware-Autoren erhalten, sinkt auf nur 10%, falls die Lösegeldzahlung 5 Mio. USD übersteigt.

Laut Sicherheitsexperten von FireEye führt DarkSide sogar Rekrutierungsinterviews durch, bevor sie sich bereit erklären, einen angehenden Hacker als Lizenznehmer einzustellen. Wenn das Interview erfolgreich ist, erhält der aufstrebende Cyberkriminelle Zugriff auf sein persönliches Kontrollfeld, über das er seine spezifische Nutzlast anpassen und seine Opfer- und Auszahlungsinformationen verwalten kann. Außerdem kann er sich an DarkSide wenden, um Unterstützung bei der Verwendung der Ransomware zu erhalten.

FireEye hat fünf separate Entitäten oder Gruppen von schlechten Akteuren identifiziert, die alle mit DarkSide verbunden zu sein scheinen und sehr wahrscheinlich Ransomware-Lizenznehmer sind. Drei der Gruppen wurden genauer untersucht und erhielten die Codenamen UNC2628, UNC2659 bzw. UNC2465.

Die früheste Aktivität einer der Gruppen geht auf den April des letzten Jahres zurück. Jede Gruppe verwendet leicht unterschiedliche Ansätze, wenn es um Infiltration und die Exploits und Schwachstellen geht, die verwendet werden, um Zugriff auf gefährdete Netzwerke zu erhalten.

UNC2628 ist dafür bekannt, gestohlene VPN-Anmeldeinformationen zu missbrauchen, um Zugriff zu erhalten, und verbringt im Allgemeinen nur sehr wenig Zeit damit, im Netzwerk herumzusuchen, bevor es zur Verschlüsselung übergeht.

UNC2659 hat eine derzeit gepatchte Sicherheitsanfälligkeit in einem VPN-Dienst missbraucht, der von Remote-Mitarbeitern verwendet wird. Diese Gruppe scheint auch Dateien zu stehlen, bevor sie die Ransomware bereitstellt. Dies kann wahrscheinlich dazu führen, dass die Daten online weiter verloren gehen, wenn ihre Anforderungen nicht erfüllt werden.

UNC2465 verwendet Phishing und eine Hintertür namens Smokedham. Im Gegensatz zu den beiden anderen Gruppen verfügt FireEye über Daten, nach denen diese bestimmte Gruppe mehrere Monate vor Beginn der Verschlüsselung und Bereitstellung der eigentlichen Ransomware Zugriff auf ein gefährdetes Netzwerk erhalten hat.

Die Forscher sind sich allgemein einig, dass die Gruppen, die die sich ständig weiterentwickelnden Ransomware-Stämme betreiben, ihre Methoden und Werkzeuge nur weiter verbessern und weiterentwickeln werden.