Bericht: Strafverfolger schalten Infrastruktur der Ransomware DarkSide ab

Stefan Beiersmann,
Ransomware (Bild: Shutterstock)

Die Cyberkriminellen verlieren den Zugang zu ihrem Blog und ihren Zahlungsservern. Als Folge gegen sie ihr Ransomware-as-a-Service-Geschäftsmodell auf. Möglicherweise reagieren die Hintermänner auch auf Druck aus den USA.

Strafverfolgern ist es offenbar gelungen, Teile der Infrastruktur der Ransomware DarkSide auszuschalten. Wie Bleeping Computer berichtet, haben die Cybererpresser aber nicht nur den Zugang zu ihren Servern verloren, sondern auch zu den Einnahmen aus ihrem kriminellen Geschäft.

Das sollen zumindest die Hintermänner von DarkSide selbst in einem Untergrundforum bekannt gegeben haben. Bleeping Computer wiederum beruft sich auf einen Beitrag in einem Hacking-Forum namens Exploit, der von einem Mitglied der konkurrierenden Ransomware-Gang REvil erstellt und von einem Sicherheitsforscher von Recorded Future entdeckt wurde.

Dort heißt es, die Hintermänner von DarkSide hätten die Kontrolle über wesentliche Teile ihre Infrastruktur verloren. “Von Anfang an haben wir versprochen, offen und ehrlich über Probleme zu reden. Vor wenigen Stunden haben wir den Zugang zum öffentlichen Teil unserer Infrastruktur verloren, namentlich: Blog, Zahlungsserver, DOS Server”, werden die DarkSide-Hintermänner in dem Forenbeitrag zitiert.

Auslöser soll eine Aktion nicht genannter Strafverfolgungsbehörden sein. In welchem Land die Infrastruktur von DarkSide betrieben wird beziehungsweise welche Behörden welcher Länder hinter der Aktion stecken, ist nicht bekannt. Bleeping Computer merkt zudem an, dass der Zahlungsserver derzeit erreichbar sei, möglicherweise unter der Kontrolle von Strafverfolgern, um Opfern weiterhin den Zugang zu Entschlüsselungs-Tools zu erlauben.

Eine weitere Meldung der Cybererpresser, die der Sicherheitsanbieter Intel471 abgreifen konnte, spricht von “Druck der USA”, der zur Einstellung des Ransomware-as-a-Service-Geschäftsmodells geführt habe. Die Hacker entschlossen sich deswegen offenbar, ihr Partnerprogramm einzustellen. Allerdings sollen die ehemaligen Partner eigene Entschlüsselungstools erhalten, um in Eigenregie die Opfer weiterhin erpressen zu können, die noch nicht bezahlt haben.

Der Angriff auf Colonial Pipeline hatte aber nicht nur für die Hintermänner von DarkSide erhebliche Folgen. Die Betreiber der REvil-Ransomware, die bisher recht skrupellos agierten, haben sich und ihren Partnern nun strenge Regeln für die Auswahl von Opfern auferlegt. Unter anderem sind Attacken auf den Gesundheitssektor und auch Bildungseinrichtungen nun grundsätzlich verboten. Das gilt auch für Behörden und andere staatliche Einrichtungen weltweit.

Darüber hinaus haben mehrere Hackerforen v, die sich mit Ransomware beschäftigen. Sie waren bisher ein wichtiger Anlaufpunkt für Cyberkriminelle, die die Dienste von Ransomware-as-a-Service-Anbietern wie DarkSide nutzen wollten.