Nach dem fatalen Ransomware-Angriff auf kritische US-Infrastruktur verteidigen sich die Hacker: "Wir wollen nur Geld verdienen." Was man über die Gruppe weiss.
Eine der grössten US-Ölpipelines wurde kürzlich durch einen Ransomware-Angriff lahmgelegt: Die Colonial Pipeline transportiert 45% des täglichen Treibstoff-Bedarfs der US-Ostküste. Der Vorfall wird als schwerwiegendster Cyberangriff auf kritische Infrastruktur der USA in der Geschichte verhandelt. In den betroffenen Gebieten wurde der Notstand ausgerufen, um Öl-Lieferungen per Lastwagen zu vereinfachen.
Die Betreiber hoffen, dass der grösste Teil der Infrastruktur bis zum Wochenende wieder in Betrieb ist, wie die Nachrichtenagentur 'AP' berichtet. Einzelne kleinere Pipelines wurden bereits als betriebsbereit gemeldet. Die Behörden wollten an einem Briefing zum Vorfall keine Details nennen, da die Ermittlungen laufen. Auch ob Lösegeld bezahlt wurde, wurde nicht bekannt gegeben.
Die Nationale Sicherheitsberaterin Anne Neuberger erklärte aber, dass die Systeme heruntergefahren worden seien, um die Ausbreitung der Verschlüsselungssoftware zu unterbinden. Es seien auch Warnhinweise an industrielle Betriebe verschickt worden, die kompromittiert sein könnten. Zudem wurde eine fachübergreifende Taskforce einberufen, um die Situation in den Griff zu kriegen und Massnahmen zur Eindämmung weiterer Vorfälle zu diskutieren. "Wir müssen investieren, um unsere kritische Infrastruktur zu schützen", erklärte US-Präsident Joe Biden laut 'AP'.
Joe Biden: Russland ist nicht involviert, aber in der Pflicht
Das FBI beschuldigt die Ransomware-Gang Darkside hinter dem Angriff zu stecken. Diese bestätigt dies in einer Pressemitteilung, in der sie schreibt: "Wir sind unpolitisch, wir beteiligen uns nicht an Geopolitik, man muss uns auch nicht mit einer bestimmten Regierung in Verbindung bringen und nach anderen Motiven suchen." Offenbar ist die Gruppe um Schadensbegrenzung bemüht.
Eine geopolitische Eskalation will auch Biden vermeiden. Der US-Präsident liess verlauten: Es gebe keine Beweise, dass Russland involviert sei, obwohl die Ransomware aus Russland stamme. Das Land habe eine gewisse Verantwortung, sich mit dem Fall zu befassen. Laut Security-Firma Acronis greift die Malware keine Netzwerke an, deren User russischsprachige Tastaturen benutzen.
Unpolitisch? Die Hacker präsentieren sich als "Robin Hood"
Darkside schreibt in ihrer Pressemitteilung: "Unser Ziel ist es, Geld zu verdienen." Die üblichen Lösegelder der Bande liegen zwischen 200'000 und 2 Millionen Dollar, wie Acronis in einem Beitrag schreibt.
Darkside präsentierte sich im Sommer 2020 per Pressemitteilung der Öffentlichkeit. Wie in der Welt der legitimen Unternehmen, warb die Firma mit Erfahrung in ihrem Geschäftsbereich. Sie bietet Ransomware im Service-Modell an, mittlerweile ein verbreitetes Geschäftsmodell. Von einer eigenen Pressestelle heisst es nun: Künftig würde man jedes Unternehmen überprüfen, das von einem Partner oder Kunden ins Visier genommen würde, um soziale Schäden zu vermeiden.
Das sehen Opfer von Darkside auf ihrem Bildschirm.
Dies gehört zur Public-Relation-Strategie der Bande: Darkside behauptet laut dem Blog 'Databreaches', dass sie einem Verhaltenskodex folge und etwa Gesundheitseinrichtungen, Schuleinrichtungen oder Non-Profit-Organisationen nicht angreife. Zudem würden keine Ziele innerhalb der 10 GUS-Staaten, dem Verbund ehemaliger Sowjetrepubliken, angegriffen.
Die Gruppe stellt sich als eine Art Robin Hood dar: So soll ein Teil der Lösegelder für wohltätige Zwecke eingesetzt werden. Offenbar wurden aber 20'000 Dollar an gestohlenen Bitcoin von einer Wohltätigkeitsorganisation abgelehnt, weil diese die kriminelle Herkunft erkannte. Dies berichtet die Security-Firma Cybereason in einem Blogbeitrag.