Darkside 2.0
Verstärkte Angriffe der Ransomware-Gruppe
Bild: Varonis Systems (Deutschland) GmbH

Das Incident Response Team (IRT) von Varonis Systems beobachtet seit November 2020 verstärkte Angriffe von Darkside, Inc. auf Unternehmen in Nordamerika und Europa. Diese sehr gezielten Kampagnen wurden in mehreren Phasen über Wochen bzw. Monate durchgeführt und zielten auf den Diebstahl und die Verschlüsselung sensibler Daten einschließlich Backups ab. Obgleich die Opfer über umfangreiche Cybersicherheitslösungen verfügten, hatten sie dennoch Schwierigkeiten bei der Identifizierung und folglich auch Abwehr der Attacken. Hierzu trägt vor allem das hochentwickelte Vorgehen der Angreifer bei: So halten sie sich vor der Verschlüsselung der Dateien außergewöhnlich lange in den angegriffenen Netzwerken auf, um möglichst unauffällig besonders lohnende Dateien zu identifizieren und zu exfiltrieren. Die Angreifer setzen dabei auf die neue Methode des RDP-over-TOR, bei der Traffic wie https-Traffic erscheint, allerdings TOR-Traffic zu Onion-Nodes darstellt. Auch werden bei jedem Angriff unterschiedliche Command-and-Control-Server, Beacons und individueller Code verwendet. Auffällig ist zudem, dass die Angriffe meist über kompromittierte Partner und Auftragnehmer erfolgen, da die Cyberkriminellen offensichtlich davon ausgehen, dass hier das Sicherheitsniveau in der Regel niedriger als bei den eigentlichen Zielen ist. „Unser IRT hat festgestellt, dass sich der Code sowie die Techniken und Taktiken der Angreifer stets weiterentwickeln und jeder Angriff letztlich einzigartig ist“, erklärt Michael Scheffler, Country Manager DACH von Varonis Systems. „Auch das kürzlich vorgestellte Darkside Decryption Tool von Bitdefender hilft bei den neueren Angriffen nicht weiter.“ Die Darkside-Ransomware-Gruppe kündigte ihr Ransomware-as-a-Service-Modell im August 2020 in einer ‚Pressemitteilung‘ an. Seitdem ist sie durch professionelle Operationen und hohe Lösegeldforderungen auffällig geworden. Die Cyberkriminellen agieren hochprofessionell und treten wie ein Unternehmen auf (Darkside, Inc.), das u.a. Web-Chat-Support sowie gewisse ‚Garantieleistungen‘ anbietet. Vor einem Angriff erstellen sie umfangreiche Finanzanalysen der potenziellen Opfer, um so nur besonders lohnende, finanzkräftige Ziele zu attackieren. Gleichwohl bemühen sie sich auch um ein positives Image, indem sie öffentlich bekanntgegeben haben, keine Krankenhäuser, Schulen, gemeinnützige Einrichtungen und Regierungen anzugreifen, und angeblich einen Teil ihrer Einnahmen wohltätigen Zwecken zukommen lassen. Das Reverse Engineering von Varonis hat ergeben, dass die Malware von Darkside die Spracheinstellungen der Geräte überprüft, um sicherzustellen, dass sie keine in Russland ansässigen Unternehmen angreift. Auf ihrem Blog unter varonis.com erklärt das Unternehmen Varonis Systems, wie Unternehmen eine Darkside-Cyberattacke erkennen und sich vorab vor ihr schützen können.

Varonis Systems (Deutschland) GmbH

Das könnte Sie auch Interessieren

Bild: CoreTigo
Bild: CoreTigo
Mit IO-Link drahtlos 
durch die Anlage

Mit IO-Link drahtlos durch die Anlage

IO-Link ist ein etablierter Standard zur bidirektionale Kommunikation zwischen Sensoren/Aktoren und der Steuerungsebene. Sie ist als Punkt zu Punkt Verbindung zwischen den IO-Link-Mastern und den IO-Link-Geräten über ein 3-adriges Kabel mit Standard-Steckern...

Bild: Erema
Bild: Erema
Zukunftssichere 
Maschinennetzwerke

Zukunftssichere Maschinennetzwerke

Mittlerweile sind mehr als 6.500 Erema-Systeme rund um den Globus im Einsatz, die in Summe jährlich über 14,5 Mllionen Tonnen Kunststoff-Granulat in höchster, bedarfsgerecht angepasster Qualität produzieren. - Bild: Erema Die Unternehmensberatung McKinsey rechnet in...

Bild: Xandar
Bild: Xandar
Sicherheit für
eingebettete Systeme

Sicherheit für eingebettete Systeme

Bild: Xandar In dem am Karlsruher Institut für Technologie (KIT) koordinierten Projekt Xandar erarbeiten Partner aus Wissenschaft und Wirtschaft eine komplette Werkzeugkette zur Softwareentwicklung und Hardware-Software-Integration für komplexe Anwendungen auf...

Bild: DFKI GmbH/Nokia
Bild: DFKI GmbH/Nokia
Neue Vorsitzende im VDE ITG

Neue Vorsitzende im VDE ITG

Bild: DFKI GmbH/Nokia Prof. Dr. Hans Schotten (l.) wurde als Vorsitzender der Informationstechnischen Gesellschaft im VDE (VDE ITG) bestätigt. Zum Stellvertreter wurde Dr. Volker Ziegler gewählt. Beide verantworten für die nächsten drei Jahre die Geschicke der über...