DarkSide Ransomware Group erklärt

DarkSide ist eine relativ neue Ransomware- Gruppe, die für aufsehenerregende Angriffe wie den Colonial Pipeline-Hack im Mai 2021 verantwortlich war. Diese Gruppe entwickelt Ransomware für den Einsatz durch andere Hackergruppen bei sehr gezielten Angriffen, wodurch DarkSide eine größere Reichweite erhält und diesen anderen Gruppen Zugriff auf hochentwickelte und aktiv gepflegte Ransomware ermöglicht.

Sprechen Sie mit einem Experten Mehr erfahren

Einführung in DarkSide

Die erstmals im August 2020 entdeckte Gruppe besteht angeblich aus erfahrenen Cyberkriminellen verschiedener Ransomware-Gruppen. DarkSide ist ein neuer Einstieg in den Bereich Ransomware as a Service (RaaS), wo sie Ransomware entwickeln und an andere Cyberkriminelle verkaufen.

Dies ermöglicht es Cyberkriminellen, sich auf bestimmte Bereiche zu spezialisieren. Die DarkSide-Gruppe konzentriert sich auf die Entwicklung und Verbesserung ihrer Malware, während sich ihre Kunden darauf spezialisieren, Zugang zum Zielnetzwerk zu erhalten und die Malware auf kritische oder wertvolle Systeme innerhalb dieser zu übertragen.

The DarkSide group made headlines for a ransomware attack against Colonial Pipeline, which transports about half of the fuel to the East Coast of the United States. This attack crippled the pipeline’s operations, causing a complete shutdown for multiple days and causing the US government to announce a state of emergency due to the attack posing a potential national security threat.

So funktioniert die DarkSide-Ransomware

Die DarkSide-Ransomware-Gruppe führt äußerst gezielte Angriffe durch. Die Gruppe behauptet, unpolitisch zu sein und sich auf das Geldverdienen zu konzentrieren, möchte aber der Gesellschaft keine Probleme bereiten. Als Teil davon hat die Gruppe eine Liste veröffentlicht, die ihrer Meinung nach „akzeptable Angriffsziele“ darstellt.

Sobald die DarkSide-Ransomware Zugriff auf eine Zielumgebung erhält, beginnt sie mit dem Sammeln und Herausfiltern sensibler und wertvoller Daten aus dem Unternehmen. Dies liegt daran, dass DarkSide „doppelte Erpressungsangriffe“ durchführt, bei denen Opfern, die das Lösegeld für die Entschlüsselung ihrer Dateien nicht zahlen, mit der Offenlegung ihrer Daten gedroht wird, sofern der Forderung nicht nachgekommen wird. Die DarkSide-Gruppe betreibt eine Website namens DarkSide Leaks, auf der sie die Daten derjenigen Opfer veröffentlicht, die sich weigern, das Lösegeld zu zahlen.

Nach dem Diebstahl der Daten und der Verschlüsselung infizierter Computer sendet die DarkSide-Gruppe eine auf das jeweilige Ziel zugeschnittene Lösegeldforderung. Abhängig von der Größe und den Ressourcen des Zielunternehmens können die Lösegeldforderungen zwischen 200.000 und 20 Millionen US-Dollar variieren. Um ihre Chancen auf eine Auszahlung zu erhöhen, führt die DarkSide-Gruppe eine eingehende Recherche über ein Unternehmen durch, um wichtige Entscheidungsträger zu identifizieren und das geforderte Lösegeld zu maximieren und gleichzeitig sicherzustellen, dass es innerhalb der Zahlungsfähigkeit des Zielunternehmens liegt.

Als RaaS-Anbieter konzentriert sich die DarkSide-Gruppe auf die Verbesserung ihrer Malware, um sie effektiver und schwieriger zu erkennen und zu blockieren. Zu diesem Zweck hat der Konzern kürzlich eine Version 2.0 der Malware veröffentlicht, die in ihren Angriffskampagnen aktiv im Einsatz ist.

Umgang mit der Ransomware-Bedrohung

The emergence of the DarkSide ransomware group demonstrates the increasing threat of ransomware attacks. A number of different ransomware groups are currently operating, and the RaaS business model makes it possible for groups with sophisticated malware – like DarkSide – to expand their impact by selling access to their ransomware to other cybercrime groups.

Da sich immer mehr Gruppen Zugang zu hochentwickelter Ransomware verschaffen, ist die Ransomware-Prävention ein entscheidender Bestandteil der Cybersicherheitsstrategie eines jeden Unternehmens.

Um die Bedrohung durch Ransomware einzudämmen, müssen bestimmte Best Practices implementiert werden, wie zum Beispiel:

  • Sensibilisierungsschulung: Ein hoher Prozentsatz der Ransomware wird über Phishing- und andere Social-Engineering-Angriffe verbreitet. Um die von ihnen ausgehende Bedrohung einzudämmen, ist es wichtig, die Mitarbeiter darin zu schulen, verdächtige E-Mails zu erkennen und richtig darauf zu reagieren.
  • Datensicherungen: Ransomware dient der Verschlüsselung von Daten und zwingt ein Unternehmen dazu, ein Lösegeld zu zahlen, um wieder Zugriff zu erhalten. Durch die Erstellung regelmäßiger Datensicherungen wird der potenzielle Datenverlust durch einen Ransomware-Angriff minimiert.
  • Patch-Management: Einige Ransomware-Varianten verbreiten sich, indem sie ungepatchte Schwachstellen in den Systemen einer Organisation ausnutzen. Durch die zeitnahe Installation von Updates können diese Lücken geschlossen werden, bevor sie von einem Angreifer ausgenutzt werden können.
  • Mehrstufige Authentifizierung: Kompromittierte Benutzeranmeldeinformationen werden mit RDP oder VPNs verwendet, um Zugriff auf Unternehmenscomputer zu erhalten und dort Malware einzuschleusen. Die Implementierung einer mehrstufigen Authentifizierung (MFA) kann das Risiko schwacher oder gehackter Passwörter begrenzen.

Endgerätesicherheit: Ransomware kann auf verschiedene Weise Zugriff auf die Computer einer Organisation erhalten. Eine Endgerätesicherheit-Lösung mit Anti-Ransomware-Funktionen kann dabei helfen, Ransomware-Infektionen zu erkennen, zu beseitigen und den entstandenen Schaden zu minimieren.

Schutz vor Ransomware mit Harmony Endpoint

Harmony Endpoint von Check Point ist eine umfassende Endgerätesicherheitslösung, die robusten Schutz vor Ransomware-Angriffen bietet. In der aktuellen MITRE Engenuity ATT&CK-Bewertung hat Harmony Endpoint alle im Test eingesetzten Angriffstechniken erkannt und damit seine Fähigkeit unter Beweis gestellt, umfassenden Schutz vor modernen Cyber-Bedrohungen, einschließlich Ransomware-Angriffen, zu bieten.

Mit Harmony Endpoint können Unternehmen Ransomware-Infektionen in ihren Umgebungen proaktiv erkennen. Um mehr über die Bedrohungssuche mit Harmony Endpoint zu erfahren, sehen Sie sich dieses Video an. Sehen Sie außerdem in diesem Video, wie Harmony Endpoint zur Identifizierung von Maze-Ransomware-Infektionen verwendet werden kann.

Weitere Informationen zu den Funktionen von Harmony Endpoint finden Sie in der Lösungsübersicht. Gerne können Sie Harmony Endpoint auch mit einer personalisierten Demo in Aktion sehen und es mit einer kostenlosen Testversion selbst ausprobieren.

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Mit der weiteren Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserem Cookies Hinweis.
OK