Es ist kaum eine Woche nach dem Cyberangriff auf den Öllieferant Colonial Pipelines vergangen, da kündigt die Epressergruppe DarkSide den Rückzug von künftigen Ransomware-Attacken gegen Firmen und andere Einrichtungen an. Gründe hierfür gibt es wohl den ein oder anderen. Wesentlich an der Bekanntgabe sind vor allem zwei Aspekte.
Zum einen soll US-Präsident Joe Biden aufgrund des erfolgreichen Erpressungsversuchs angekündigt haben, gegen das Ransomware-Netzwerk „entscheidende Schritte“ einleiten zu wollen. Was allerdings im Falle einer von Russland aus operierenden Hackergruppe nicht so einfach werden dürfte.
Zum anderen betraf der Cyberangriff auf das Versorgungsunternehmen Colonial Pipelines eine sogenannte Kritische Infrastruktur, was in den ethischen Richtlinien von DarkSide explizit ausgeschlossen wird. Damit hat das Hackernetzwerk gegen eigene Regeln verstoßen. Nichtsdestotrotz soll DarkSide von Colonial Pipelines 5 Millionen US-Dollar erpresst haben, die wohl auch bezahlt wurden. Danach konnte der Öllieferant dank der entsperrten Daten seine Arbeit wieder aufnehmen.
[irp posts=“168385″ ]
Wie man sich gegen Ransomware-Angriffe schützen kann
Sieht man sich die Vorgehensweise von Hackergruppen wie DarkSide an, fällt vor allem eines auf: Die Methoden ähneln sich sehr oft. Damit stehen die Chancen recht gut, sich dagegen zur Wehr zu setzen. So sind beispielsweise Filesharing-Server häufig beliebte Angriffsziele, worüber Hacker einen Zugriff auf sämtliche Netzwerkrechner erlangen können.
Damit können sie Schreibrechte verändern, was am Ende darauf hinausläuft, dass die Angreifer Backups und sogar Shadow-Kopien löschen können. Werden dann anschließend sämtliche Daten verschlüsselt, ist das Zurückspielen von Backups nicht mehr möglich.
Neben dem technischen Einfallstor Filesharing setzen Hacker auch auf den Faktor Mensch. So kommen nach wie vor Phishing-Attacken zum Einsatz. Zudem werden bekannte Sicherheitslücken genauso ausgenutzt wie oft schadhafte Fernsteuerungs-Programme (Remote Software), mit denen die Hacker unbefugten Zugriff auf IT-Systeme erlangen. Das bedeutet im Umkehrschluss, dass man seine Rechnersysteme sowie sämtliche Sicherheitsprogramme mithilfe von regelmäßigen Updates stets auf dem neuesten Stand halten sollte.
[irp posts=“158010″ name=“MITRE Engenuity-Sicherheitstest zeigt: SentinelOne kommt den Hackern auf die Spur – Video-Update“]
DarkSide und andere Hackergruppen vermeiden EDR-gesicherte Netzwerke
Das Besondere an DarkSide und anderen intelligenteren Hackergruppen ist deren Wissen rund um das Thema EDR (Endpoint Detection & Response). Denn Sicherheitsplattform wie Singularity von SentinelOne schützen Endpoint-basierte Infrastrukturen bestmöglich, da sie potenzielle Angriffe frühzeitig erkennen und eliminieren können. Daher bestand und besteht für Unternehmen, die EDR-Plattformen für den Schutz ihrer Infrastrukturen nutzen, ein hoher Schutz vor möglichen Ransomware- und anderen Attacken.
Was aber nicht bedeuten darf, allzu sorglos mit seinen Daten umzugehen und das Wissen seiner Mitarbeiter:innen rund ums Thema Sicherheit zu vernachlässigen. Denn eines ist klar: DarkSide & Co. werden jeden Tag ein bisschen schlauer und bedienen sich stets ausgefeilteren Techniken.
[irp posts=“158010″ name=“MITRE Engenuity-Sicherheitstest zeigt: SentinelOne kommt den Hackern auf die Spur“]
Disclaimer: Diesen Blogbeitrag habe ich im Auftrag von SentinelOne verfasst. Bei der Ausgestaltung der Inhalte hatte ich freie Hand.