USA verstärkt den Kampf gegen Ransomware

Ransomware-Angriffe, die erfolgreich gegen eine Organisation durchgeführt wurden, sorgen immer für viel Aufregung. Bislang endeten die meisten dieser Spektakel auf eine von drei Arten: Entweder wird die Lösegeldforderung ignoriert und die Daten gehen verloren, das Lösegeld wird gezahlt oder die Organisation hatte das Glück, eine unverfälschte Kopie der verschlüsselten Daten wiederherstellen zu können.

Der Ransomware-Angriff gegen Colonial Pipeline, der die Benzinversorgung lahmlegte, verleiht einer inzwischen etwas abgestandenen Inszenierung eine neue Wendung. Es scheint, dass die US-Regierung endlich ihre Ressourcen zur Bekämpfung der Ransomware-Plage bündelt. Das unter dem Namen DarkSide bekannte organisierte Cyberkriminalität-Syndikat, das beschuldigt wird, den Angriff auf Colonial Pipeline entweder ermöglicht oder möglicherweise angestiftet zu haben, hat angekündigt, dass es auf nicht näher bezeichneten Druck der US-Regierung hin seine Tätigkeit einstellt.

Eine Erklärung, die den Betreibern der Plattform zugeschrieben wird, die angeblich von DarkSide verwaltet wird, deckte auf, dass der öffentlich zugängliche Teil des Online-Systems einschließlich des Blogs und des Zahlungsservers bereits eingestellt wurde und dass Gelder auf ein unbekanntes Konto transferiert worden waren. Es hieß, dass die Haupt-Webseite der Gruppe und andere öffentlich zugängliche Ressourcen daher offline gehen würden. Vermutlich beinhalten die abgehobenen Gelder 5 Millionen USD in Bitcoin, die Colonial Pipeline Berichten zufolge bezahlt haben soll, um wieder Zugang zu den Systemen zu erhalten, mit denen die Pipelines betrieben werden. Ob DarkSide diese Gelder weiterhin kontrolliert oder ob sie von einer anderen Organisation entzogen wurden, ist unklar. Die Biden-Administration sagte letzte Woche, ein Vergeltungsschlag gegen DarkSide sei nicht ausgeschlossen, hat aber keine weiteren Kommentare abgegeben. Die Führungskräfte von Colonial Pipeline geben auch keine Kommentar ab.

Natürlich vermuten manche, dass es sich hierbei um eine List handelt. DarkSide wird sich schlichtweg in einer anderen Form neu gruppieren. In der Zwischenzeit haben die cyberkriminellen „Verbündeten“ von DarkSide allerdings den Zugang zu einer wichtigen Quelle von Toolkits verloren, die sie für eine Vielzahl von Angriffen einsetzen. Leider gibt es immer noch viele alternative Quellen für diese Toolkits. Es ist auch noch nicht klar, ob die Biden-Administration zusätzlichen Druck ausüben kann, um auch diese möglicherweise auszuschalten.

Unabhängig vom endgültigen Ausgang kann die Cybercommunity Trost in der schlichten Tatsache finden, dass Regierungsbehörden irgendwie einen Weg gefunden haben, die Tätigkeiten von Cyberkriminellen-Syndikaten innerhalb weniger Tage zu stören. Sie konnten zwar bisher noch niemanden verhaften, aber die Drahtzieher rivalisierender organisierter Cyberkriminellen-Syndikate fragen sich vermutlich, was als Nächstes kommt. Einige orientieren sich vielleicht sogar an DarkSide und ziehen sich still und heimlich zurück, in der Hoffnung, dass die Regierungsbehörden die Suche nach ihnen irgendwann aufgeben.

In der Zwischenzeit ist klar, dass diese Regierungsbehörden eine neue Art von Cybersecurity-Playbook zusammenstellen, in dem es um die Fähigkeiten des U.S. Cyber Command geht und nicht nur um die Ermittlungsfähigkeiten des Federal Bureau of Investigation (FBI). Dieses Playbook scheint Tools zum Ausschalten bösartiger Websites zu enthalten, die es Cyberkriminellen ermöglicht haben, mehr Angriff zu starten, als sie könnten, wenn sie jedes Tool das sie verwenden, selbst entwickeln müssten. Ransomware und andere Formen von Malware werden wahrscheinlich nicht so schnell verschwinden, aber es besteht die Hoffnung, dass die Menge an Malware, die durch das System fließt, endlich eingedämmt wird.