Über die vergangenen neun Monate verzeichneten die Check Point Sicherheitsexperten einen Anstieg der Angriffe pro Woche in den Vereinigten Staaten um etwa 300 Prozent. Letzte Woche wurde nun die Öl-Pipeline des Betreibers Colonial im US-Bundestaat Georgia zum Ziel eines Angriffs. Die US-Ermittlungsbehörde FBI bestätigte mittlerweile, dass die Ransomware Darkside bei dem Angriff zum Einsatz kam.
Diese junge Ransomware-Familie trat erstmals im August 2020 auf den Plan, zu finden auf ID-Ransomware, einer Enzyklopädie für entsprechende Malware. Es handelt sich dabei um Ransomware-as-a-Service, also ein Schadprogramm, welches sich auf dem Schwarzmarkt gegen Bezahlung mieten lässt.
Die Anbieter und die Anwender der Malware teilen sich dabei das erbeutete Lösegeld – sowohl Anteile als auch Einsatzgebiete sind in einer Art Nutzungsvereinbarung geregelt. Zudem betreiben die Verantwortlichen die berüchtigte Masche der Doppelten Erpressung, weil sie nicht nur die Dateien ihrer Opfer verschlüsseln, sondern mit der Veröffentlichung zuvor gestohlener Teile im Internet drohen.
„Was wir über die Darkside-Ransomware bislang wissen: Sie arbeitet über ein Ransomware-as-a-Service (RaaS)-Modell, worin sie ein Partnerprogramm nutzt, um ihre Angriffe auszuführen,“ so Lotem Finkelsteen, Head of Threat Intelligence bei Check Point.
„Das bedeutet, dass wir sehr wenig über den tatsächlichen Bedrohungsakteur hinter dem Angriff gegen Colonial wissen, da es jeder der Partner von Darkside sein könnte. Wir können jedoch sagen, dass umfangreichen Operationen wie dieser ein ausgeklügelter und gut konzipierter Cyber-Angriff zugrunde liegt.“
Der Angriff gegen Colonial fügt sich damit in eine steigende Welle von Ransomware-Angriffen ein, besonders gegen Ziele in den Vereinigten Staaten. Dabei schrecken die Hacker vor wenig zurück: 1 von 39 Einrichtungen im Gesundheitswesen wurde bereits das Opfer eines Angriffs, im Bildungswesen war es 1 von 48 und im Regierungssektor 1 in 61.
Versorgungsunternehmen, wie Colonial, wurden zuletzt jede Woche etwa 300-mal attackiert. Das entspricht einem Anstieg von rund 50 Prozent in zwei Monaten – in der ersten Märzwoche waren es noch im Durchschnitt 171 Angriffe.