Ransomware-as-a-Service
Vectra stellt cyber-kriminelle Dienstleister vor
Fünf Fakten über DarkSide und andere Ransomware-as-a-Service-Gruppen
Durch die jüngsten Cyberattacken ist das Thema „Ransomware as a Service“ (RaaS) in den Mittelunkt des öffentlichen Interesses geraten. Vectra AI , Anbieter von KI-basierter Cyber Security, stellt die wesentlichen Akteure wie beispielsweise die Gruppe „Darkside“ vor und erläutert Schutzmaßnahmen.
1. Wer ist DarkSide?
DarkSide war eine vor kurzem noch aktive Ransomware-as-a-Service (RaaS)-Gruppe, die Cyberkriminelle engagieren konnten. DarkSide war seit mindestens August 2020 an mehreren Cyberangriffen beteiligt, zuletzt auf Colonial Pipeline in den USA. Hacker würden DarkSide anheuern, um das maximale Lösegeld von einem Unternehmen zu erpressen, nachdem sie DarkSide bewiesen haben, dass sie dauerhaften Zugang zu einem Ziel hergestellt haben. Von dort aus nutzt DarkSide den Zugang, um die Ransomware einzusetzen. DarkSide praktiziert, wie viele andere RaaS-Gruppen, einen doppelten Lösegeldansatz. Zunächst verkauft sie den Verschlüsselungsschlüssel und verlangt dann vom Angriffsopfer ein Lösegeld für die gestohlenen Daten, andernfalls würden diese vernichtet.
2 Was ist das Geschäftsmodell der DarkSide-Ransomware?
DarkSide betreibt ein Partnerprogramm, bei dem die Ransomware-Betreiber den Code für die Cryptolocking-Malware an Dritte weitergeben. Jeder Affiliate, also Partner, erhält eine Version des Codes, in die seine eindeutige ID eingebettet ist. Für jedes Opfer, das ein Lösegeld bezahlt, teilt der Partner einen Prozentsatz der Zahlung (in der Regel um die 30 Prozent) mit dem Ransomware-Betreiber.
3. Was sind die Angriffsmethoden der DarkSide-Ransomware?
RaaS-Gruppen, einschließlich DarkSide, infiltrieren keine Unternehmen, stattdessen muss der Hacker nachweisen, dass er sich Zugang zum Unternehmen verschafft hat. Die RaaS-Gruppe nutzt diesen Zugang, um die Ransomware einzusetzen, während sie gleichzeitig die Ransomware-Versicherungspolice des Ziels prüft, um maximalen Profit zu erzielen. Diese Gruppen verwenden während ihrer Staging-Aktivitäten häufig beobachtete Techniken, die es Vectra ermöglichen, Ransomware zu erkennen, lange bevor eine Verschlüsselung stattfindet.
5. Wie kann man Ransomware-Banden wie DarkSide vor dem Ransomware-Ereignis erkennen und stoppen?
Obwohl DarkSide nach dem Angriff auf Colonial Pipeline angeblich seine Tätigkeit eingestellt hat, sind derzeit mehr als 100 Ransomware-Gruppen aktiv. Es sind sicherlich noch mehr Gruppen bereit, den Platz von DarkSide einzunehmen. Die frühzeitige Erkennung des Verhaltens von Bedrohungsakteuren ist entscheidend, um zu verhindern, dass Ransomware ein Unternehmen lahmlegt. Vectra identifiziert typische Verhaltensweisen von DarkSide und anderen RaaS-Gruppen vor dem eigentlichen Ransomware-Angriff, um derartige Angriffe zu stoppen.
