Angriff auf Colonial Pipeline: Cybererpresser räumen Fehler bei Auswahl des Ziels ein

Cybercrime Hacker (Bild: Shutterstock)

Sie weisen jegliche politische Ziele von sich. Auch die US-Regierung geht davon aus, dass die russische Regierung nicht in die Attacke involviert ist. Der Pipeline-Betreiber will bis Ende der Woche sein Pipeline-Netz zumindest im Wesentlichen wiederherstellen.

Die Hintermänner der Ransomware DarkSide haben sich zum Angriff auf den US-Pipeline-Betreiber Colonial Pipeline bekannt. In einer Pressemitteilung räumten die Cybererpresser zumindest indirekt ein, das Ziel sowie mögliche Folgen ihrer Attacke vorab nicht abgewägt zu haben. Sie kündigten an, jegliche Ziele künftig genau zu prüfen.

In ihrer Mitteilung betonen die Hacker, dass sie keinerlei politische Ziele verfolgen. Es gehe ihnen nur darum, Geld zu verdienen. Der Gesellschaft Probleme zu bereiten, sei nicht ihre Absicht. “Ab heute führen wir eine Moderation ein und prüfen jedes Unternehmen, das unsere Partner verschlüsseln wollen, um soziale Konsequenzen in Zukunft zu vermeiden”, teilten die Hacker mit. Das Kriminalität an sich stets auch Konsequenzen für unbeteiligte Dritte hat, nehmen sie aber offenbar bewusst in Kauf.

Wie Bleeping Computer berichtet, wird DarkSide als Ransomware-as-a-Service angeboten. Eine Kerngruppe sei für die Entwicklung und den Betrieb der Erpressersoftware verantwortlich, während Partner die eigentlichen Angriffe auf Netzwerke sowie das Einschleusen der Schadsoftware übernähmen. Schätzungsweise 20 bis 30 Prozent der Einnahmen verblieben beim Kernteam – der Rest gehe an die jeweiligen Partner.

Typischerweise könnten die Partner ihre Ziele frei wählen. Darauf will das DarkSide-Kernteam jedoch künftig Einfluss nehmen. Letztlich dürfte es sich bei dieser Strategie vor allem um eine Vorsichtsmaßnahme handeln. Die Auswahl eines kritischen Ziels wie Colonial Pipeline dürfte Strafverfolger wie die US-Bundespolizei FBI besonders motivieren, die Hintermänner zu enttarnen und der Justiz zuzuführen.

Colonial Pipleline kündigte indes an, den Betrieb seiner Pipeline zumindest im Wesentlichen bis zum Ende der Woche wiederherzustellen. Das Pipeline-Netz soll bis dahin schrittweise aktiviert werden. “Dieser Plan basiert auf einer Reihe von Faktoren, wobei die Sicherheit und die Einhaltung von Vorschriften unsere betrieblichen Entscheidungen bestimmen”, teilte das Unternehmen mit.

Der Vorfall beschäftigt auch das Weiße Haus. US-Präsident Joe Biden sagte bei einer Pressekonferenz, dass es keine Hinweise auf eine Verwicklung der russischen Regierung in den Angriff gebe. Die Hintermänner der DarkSide-Ransomware sollen ihm zufolge jedoch aus Russland stammen.