DarkSide-Ransomware ist eine Art von Ransomware, die von der cyberkriminellen Gruppe Darkside entwickelt wurde. Die Darkside-Ransomware verschlüsselt Dateien auf infizierten Systemen und macht sie unzugänglich, bis ein Lösegeld in Kryptowährung gezahlt wird.
Was ist DarkSide?
DarkSide ist eine cyberkriminelle Gruppe, die Ransomware für Angriffe auf Unternehmen einsetzt und Ransomware-as-a-Service (RaaS) anbietet, bei dem Kunden ihre Ransomware-Tools mieten können. Sie rüsten technisch weniger versierte Hacker:innen aus, um komplexe Angriffe auf Unternehmen zu starten, während DarkSide einen Anteil an den Lösegeldzahlungen erhält.
DarkSide ist berüchtigt für ihre „doppelte Erpressungstaktik“, bei der sie Opfern, die sich weigern, ihre Lösegeldforderungen zu bezahlen, damit drohen, ihre Daten auf dem Schwarzmarkt zu verkaufen oder sensible Informationen auf ihrer DarkSide Leaks-Webseite zu veröffentlichen. Sie haben über 100 GB an Daten gestohlen und etwa 4 Millionen Dollar Lösegeld kassiert.
Einer der berüchtigtsten DarkSide-Angriffe galt im Mai 2021 der Colonial Pipeline. Colonial Pipeline ist ein großer Betreiber von Treibstoffpipelines in den USA und war aufgrund des Angriffs von DarkSide gezwungen, den Betrieb vorübergehend einzustellen, was zu einer weit verbreiteten Treibstoffknappheit und Preiserhöhungen führte. Colonial Pipeline soll ein Lösegeld von 4,4 Millionen Dollar gezahlt haben.
Was ist mit DarkSide passiert?
Nach dem aufsehenerregenden Angriff auf die Colonial Pipeline im Jahr 2021 wurde DarkSide von den internationalen Strafverfolgungsbehörden verstärkt unter die Lupe genommen. Als Reaktion auf den Druck kündigte die Gruppe ihren Rückzug aus dem Geschäft an und begründete dies mit dem Verlust des Zugangs zu ihrer Infrastruktur und ihren Kryptowährungs-Wallets. Das RaaS-Modell bedeutet jedoch, dass Reste ihrer Tools und Taktiken durch andere cyberkriminelle Gruppen weiterbestehen können.
Wie funktioniert die DarkSide-Ransomware?
Anstatt Spear-Phishing-E-Mails wie herkömmliche Ransomware zu verwenden, zielt die DarkSide-Ransomware auf virtuelle Desktop-Infrastrukturen. Sobald die Angreifer in das System eingedrungen sind, übernehmen sie die Kontrolle mit Hilfe des Remote-Desktop-Protokolls (RDP) über Port 443, das über TOR geleitet wird, um ihre Aktivitäten zu verschleiern.
DarkSide-Ransomware nutzt in der Regel zwei Schwachstellen aus: CVE-2019-5544, eine Sicherheitslücke in OpenSLP, und CVE-2020-3992, eine Schwachstelle in VMware. Für beide Schwachstellen gibt es Patches, die sie beheben, aber Unternehmen, die keine Patch-Management-Software verwenden, haben möglicherweise noch die älteren Versionen, die der DarkSide-Ransomeware einen Angriffspunkt bieten.
Verhindern Sie Ransomware-Angriffe, indem Sie kritische Schwachstellen mit dem NinjaOne Guide zu Best Practices für das Patch-Management patchen.
→ Jetzt herunterladen.
Wie Sie Ihre Geräte vor DarkSide Ransomware schützen können
-
Führen Sie Backups durch
Führen Sie regelmäßig Backups von wichtigen Daten durch, um sicherzustellen, dass bei einem DarkSide-Ransomware-Angriff keine Dateien verloren gehen. Backup-Software für die Wiederherstellung nach einem Ransomware-Angriff schützt die Daten eines Unternehmens durch Verschlüsselung während der Übertragung und Speicherung, Multi-Faktor-Authentifizierung (MFA) und widerrufbare Autorisierungsschlüssel. Mit einer Recovery-Lösung können IT-Experten alle Dateien, die von der DarkSide-Ransomware verschlüsselt wurden, schnell wiederherstellen.
-
Patch-Management
Durch die ständige Aktualisierung der Software wird sichergestellt, dass Schwachstellen nicht von Ransomware ausgenutzt werden können. Indem Sie gewährleisten, dass der Patch-Management-Prozess Ihres Unternehmens konsistent und zuverlässig bleibt, können Sie verhindern, dass DarkSide-Ransomware Sicherheitslücken ausnutzt und sich Zugang zu Ihren Systemen und Netzwerken verschafft.
-
Benutzen Sie Netzwerksegmentierung
Der Überblick über Ihr Netzwerk ermöglicht es Ihnen, Unbefugte zu erkennen und proaktive Maßnahmen zu ergreifen, wie z. B. die Segmentierung, um potenzielle Verstöße einzudämmen und den Zugang zwischen verschiedenen Teilen des Netzwerks zu begrenzen. Eine RMM-Software mit Netzwerk-Monitoring kann Ihrem IT-Team den Umgang mit Ransomware-Angriffen ermöglichen.
Verbesserung der IT-Sicherheit gegen Ransomware
Da immer mehr Unternehmen auf Remote- oder hybride Arbeitsumgebungen umsteigen, stellt DarkSide-Ransomware eine größere Bedrohung dar. Durch das Verständnis der von DarkSide-Ransomware ausgehenden Bedrohung können Cybersicherheitsexperten optimale Maßnahmen zum Schutz ihrer IT-Infrastruktur ergreifen.
Durch konsequentes Patchen werden Schwachstellen beseitigt, die potenzielle Angriffspunkte darstellen könnten. IT-Teams sollten jedoch nicht nur darauf achten, Angriffe zu verhindern, sondern auch die Geschäftskontinuität im Falle eines Darkside-Ransomware-Angriffs durch eine zuverlässige Backup- und Datenwiederherstellungslösung zu gewährleisten. Einige leistungsfähige Endpunkt-Management-Software, wie NinjaOne, bietet all diese Tools, um Ihre Daten zu schützen, Risiken zu mindern und Ausfallzeiten durch Ransomware-Angriffe zu minimieren.