Die Ransomware-Gruppe der Kolonialpipeline verliert die Kontrolle über die kritische Serverinfrastruktur
Die Kriminellen, die mit dem DarkSide-Ransomware-Angriff in Verbindung gebracht wurden, der für die Verkrüppelung der Treibstofflieferungen und die steigenden Treibstoffpreise in den USA verantwortlich ist, haben ergeben, dass ihre "Server beschlagnahmt" und Geld auf ein "unbekanntes Konto" überwiesen wurden.
DarkSide Ransomware-as-a-Service stellt den Betrieb ein
Der DarkSide-Ransomware-Angriff auf die Colonial Pipeline hat in den USA zu massiven Störungen geführt. Die Pipeline befördert raffinierte Ölprodukte rund 5.500 Meilen im ganzen Land, befördert täglich rund 3 Millionen Barrel Öl zwischen Texas und New York und macht rund 45 Prozent der Kraftstoffversorgung der Ostküste aus.
Der Ransomware-Angriff hat die kritische Pipeline offline geschaltet und hektische Szenen ausgelöst, als die Bürger in Erwartung von Engpässen alle Arten von Containern mit Kraftstoff füllten, was zu Gaspreisen von bis zu 3 USD pro Gallone führte, dem höchsten Stand seit 2014.
Darüber hinaus gab Colonial bekannt, dass es dem Ransomware-Betreiber ein Lösegeld in Höhe von 5 Millionen US-Dollar für den Erhalt eines Entschlüsselungstools gezahlt habe, aber dennoch auf die "traditionelle" Datenwiederherstellung zurückgreifen müsse, da das Ransomware-Unternehmen nicht schnell genug reagiere. Obwohl dies für ein Ransomware-Unternehmen wie ein Win-Win-Szenario klingt, können andere Opfer die Zahlung eines Lösegelds ablehnen, wenn sie der Meinung sind, dass das Unternehmen danach keine Hilfe mehr leistet.
In einer Reihe von Fällen teilten die Ransomware-as-a-Service-Betreiber ihren verbundenen Unternehmen mit, dass sie die Kontrolle über einen erheblichen Teil des Ransomware-Netzwerks selbst, einschließlich der Zahlungsserver, sowie über Gelder, die auf andere unzugängliche Konten überwiesen wurden, verloren hatten .
Der Beitrag wurde auf einem russischen Kriminalforum verfasst, obwohl Cybersicherheitsunternehmen, die den Fall überwachen, wie beispielsweise FireEye's Mandiant, Verdacht auf plötzliche Ankündigungen erweckt haben.
Die Post zitierte den Druck der Strafverfolgungsbehörden und den Druck der Vereinigten Staaten für diese Entscheidung. @Mandiant hat diese Behauptungen nicht unabhängig validiert und es gibt einige Spekulationen von anderen Akteuren, dass dies ein Exit-Betrug sein könnte. (3/3)
– FireEye (@FireEye), 14. Mai 2021
Das Timing ist nicht nur sehr verdächtig, sondern passt auch zu anderen Ransomware-as-a-Service-Vorgängen, die zuvor gesehen wurden. Nach einer erfolgreichen Punktzahl fällt der Dienst für eine Weile von der Karte ab und taucht zu einem späteren Zeitpunkt mit einem neuen Ziel wieder auf.
Die Ankündigung war jedoch mit einem kleinen Bonus für andere Opfer derselben Ransomware verbunden. Vor dem Schließen des Shops stellt der Ransomware-Betreiber jedem, der noch kein Lösegeld gezahlt hat, Entschlüsseler zur Verfügung. Dies entspricht der früheren Nachricht des Betreibers, dass er nur für das Geld darin ist, um keine tatsächlichen Störungen und Sachschäden zu verursachen.
So edel das auch ist, der Schaden für viele Menschen ist bereits angerichtet.
Ransomware als Service hält kriminelle Aktivitäten agil
Ransomware ist nach wie vor eine Geißel. Die Opfer stehen vor dem ewigen Kampf zwischen dem Bezahlen für das Entschlüsseln und Wiederherstellen von Dateien, während sie wissen, dass diese Mittel kriminelle Aktivitäten befeuern.
In diesem Fall hatte Colonial das Gefühl, dass es keine andere Wahl gab, als für den Erhalt eines Entschlüsselers zu zahlen – selbst wenn dieser Prozess fehlschlug.
Viele Unternehmen wollen, dass Ransomware-Zahlungen verboten werden, und geben an, dass die Zahlung nur Kriminelle dazu ermutigt, mehr Angriffe auszuführen. Aber während die Angriffe andauern und Regierungen, Unternehmen und Versorgungsunternehmen darunter leiden, muss die Zahlung von Lösegeld sicherlich von Fall zu Fall erfolgen.