DarkSide Ransomware Group erklärt

Einführung in DarkSide

Die erstmals im August 2020 entdeckte Gruppe besteht angeblich aus erfahrenen Cyberkriminellen verschiedener Ransomware-Gruppen. DarkSide ist ein neuer Einstieg in den Bereich Ransomware as a Service (RaaS), wo sie Ransomware entwickeln und an andere Cyberkriminelle verkaufen.

Dies ermöglicht es Cyberkriminellen, sich auf bestimmte Bereiche zu spezialisieren. Die DarkSide-Gruppe konzentriert sich auf die Entwicklung und Verbesserung ihrer Malware, während sich ihre Kunden darauf spezialisieren, Zugang zum Zielnetzwerk zu erhalten und die Malware auf kritische oder wertvolle Systeme innerhalb dieser zu übertragen.

The DarkSide group made headlines for a ransomware attack against Colonial Pipeline, which transports about half of the fuel to the East Coast of the United States. This attack crippled the pipeline’s operations, causing a complete shutdown for multiple days and causing the US government to announce a state of emergency due to the attack posing a potential national security threat.

So funktioniert die DarkSide-Ransomware

Die DarkSide-Ransomware-Gruppe führt äußerst gezielte Angriffe durch. Die Gruppe behauptet, unpolitisch zu sein und sich auf das Geldverdienen zu konzentrieren, möchte aber der Gesellschaft keine Probleme bereiten. Als Teil davon hat die Gruppe eine Liste veröffentlicht, die ihrer Meinung nach „akzeptable Angriffsziele“ darstellt.

Sobald die DarkSide-Ransomware Zugriff auf eine Zielumgebung erhält, beginnt sie mit dem Sammeln und Herausfiltern sensibler und wertvoller Daten aus dem Unternehmen. Dies liegt daran, dass DarkSide „doppelte Erpressungsangriffe“ durchführt, bei denen Opfern, die das Lösegeld für die Entschlüsselung ihrer Dateien nicht zahlen, mit der Offenlegung ihrer Daten gedroht wird, sofern der Forderung nicht nachgekommen wird. Die DarkSide-Gruppe betreibt eine Website namens DarkSide Leaks, auf der sie die Daten derjenigen Opfer veröffentlicht, die sich weigern, das Lösegeld zu zahlen.

Nach dem Diebstahl der Daten und der Verschlüsselung infizierter Computer sendet die DarkSide-Gruppe eine auf das jeweilige Ziel zugeschnittene Lösegeldforderung. Abhängig von der Größe und den Ressourcen des Zielunternehmens können die Lösegeldforderungen zwischen 200.000 und 20 Millionen US-Dollar variieren. Um ihre Chancen auf eine Auszahlung zu erhöhen, führt die DarkSide-Gruppe eine eingehende Recherche über ein Unternehmen durch, um wichtige Entscheidungsträger zu identifizieren und das geforderte Lösegeld zu maximieren und gleichzeitig sicherzustellen, dass es innerhalb der Zahlungsfähigkeit des Zielunternehmens liegt.

Als RaaS-Anbieter konzentriert sich die DarkSide-Gruppe auf die Verbesserung ihrer Malware, um sie effektiver und schwieriger zu erkennen und zu blockieren. Zu diesem Zweck hat der Konzern kürzlich eine Version 2.0 der Malware veröffentlicht, die in ihren Angriffskampagnen aktiv im Einsatz ist.

Umgang mit der Ransomware-Bedrohung

The emergence of the DarkSide ransomware group demonstrates the increasing threat of ransomware attacks. A number of different ransomware groups are currently operating, and the RaaS business model makes it possible for groups with sophisticated malware – like DarkSide – to expand their impact by selling access to their ransomware to other cybercrime groups.

Da sich immer mehr Gruppen Zugang zu hochentwickelter Ransomware verschaffen, ist die Ransomware-Prävention ein entscheidender Bestandteil der Cybersicherheitsstrategie eines jeden Unternehmens.

Um die Bedrohung durch Ransomware einzudämmen, müssen bestimmte Best Practices implementiert werden, wie zum Beispiel:

• Sensibilisierungsschulung: Ein hoher Prozentsatz der Ransomware wird über Phishing- und andere Social-Engineering-Angriffe verbreitet. Um die von ihnen ausgehende Bedrohung einzudämmen, ist es wichtig, die Mitarbeiter darin zu schulen, verdächtige E-Mails zu erkennen und richtig darauf zu reagieren.
• Datensicherungen: Ransomware dient der Verschlüsselung von Daten und zwingt ein Unternehmen dazu, ein Lösegeld zu zahlen, um wieder Zugriff zu erhalten. Durch die Erstellung regelmäßiger Datensicherungen wird der potenzielle Datenverlust durch einen Ransomware-Angriff minimiert.
• Patch-Management: Einige Ransomware-Varianten verbreiten sich, indem sie ungepatchte Schwachstellen in den Systemen einer Organisation ausnutzen. Durch die zeitnahe Installation von Updates können diese Lücken geschlossen werden, bevor sie von einem Angreifer ausgenutzt werden können.
• Mehrstufige Authentifizierung: Kompromittierte Benutzeranmeldeinformationen werden mit RDP oder VPNs verwendet, um Zugriff auf Unternehmenscomputer zu erhalten und dort Malware einzuschleusen. Die Implementierung einer mehrstufigen Authentifizierung (MFA) kann das Risiko schwacher oder gehackter Passwörter begrenzen.

Endgerätesicherheit: Ransomware kann auf verschiedene Weise Zugriff auf die Computer einer Organisation erhalten. Eine Endgerätesicherheit-Lösung mit Anti-Ransomware-Funktionen kann dabei helfen, Ransomware-Infektionen zu erkennen, zu beseitigen und den entstandenen Schaden zu minimieren.

Protecting Against Ransomware with Check Point Endpoint Security

Check Point’s Check Point Endpoint Security is a full-featured endpoint security solution that provides robust protection against ransomware attacks. In the latest MITRE Engenuity ATT&CK evaluation, Check Point Endpoint Security detected all attack techniques used in the test, demonstrating its ability to provide comprehensive protection against modern cyber threats, including ransomware attacks.

Check Point Endpoint Security enables organizations to proactively detect ransomware infections within their environments. To learn about threat hunting with Check Point Endpoint Security, watch this video. Additionally, see how Check Point Endpoint Security can be used to identify Maze ransomware infections in this video.

To learn more about Check Point Endpoint Security’s capabilities, check out the solution brief. You’re also welcome to see Check Point Endpoint Security in action with a personalized demo and try it out for yourself with a free trial.