Bereiten Sie Ihre Microsoft-Umgebung auf einen identitätsbasierten Angriff vor.
Buchen Sie noch heute eine Analyse der Identitätslücke.

5 Dinge, die man über DarkSide und andere Ransomware-as-a-Service-Gruppen wissen sollte

22. Juni 2021
Vectra AI Team für Sicherheitsforschung
Cybersecurity
5 Dinge, die man über DarkSide und andere Ransomware-as-a-Service-Gruppen wissen sollte

1. Wer ist DarkSide?

DarkSide war eine Ransomware-as-a-Service (RaaS)-Gruppe zur Miete. Die RaaS-Gruppe DarkSide ist seit mindestens August 2020 aktiv und an Cyberangriffen beteiligt. Hacker heuerten DarkSide an, um das maximale Lösegeld von einer Organisation zu erpressen, nachdem sie DarkSide bewiesen hatten, dass sie dauerhaften Zugang zu einem Ziel hatten. Von dort aus nutzt DarkSide den Zugang, um die Ransomware zu installieren.

DarkSide verfolgte wie viele andere RaaS-Gruppen eine doppelte Lösegeldforderung. Zunächst verkauften sie den Verschlüsselungsschlüssel und verlangten dann von der Organisation ein Lösegeld für die gestohlenen Daten, andernfalls würden diese vernichtet.

2. Was ist das Geschäftsmodell der DarkSide-Ransomware?

DarkSide betreibt ein Partnerprogramm, bei dem Ransomware-Betreiber Dritten Krypto-Locking-Malware-Code zur Verfügung stellen. Jeder Partner erhält eine Version des Codes, in die seine eindeutige ID eingebettet ist. Für jedes Opfer, das ein Lösegeld zahlt, teilt der Partner einen Prozentsatz der Zahlung (in der Regel ~30 %) mit dem Ransomware-Betreiber.

Ransomware as a Service nutzt das Partnerschaftsmodell

3. Was sind die Angriffsmethoden von DarkSide Ransomware?

RaaS-Gruppen wie DarkSide infiltrieren keine Organisationen. Stattdessen muss der Hacker nachweisen, dass er sich Zugang zu einer Organisation verschafft hat, und die RaaS-Gruppe nutzt diesen Zugang, um die Ransomware zu inszenieren, während sie gleichzeitig die Ransomware-Versicherungspolice des Ziels mit der gebotenen Sorgfalt prüft, um maximalen Profit zu erzielen. Diese Gruppen verwenden bei ihren Staging-Aktivitäten häufig beobachtete Techniken, die es Vectra ermöglichen, Ransomware zu erkennen, lange bevor eine Verschlüsselung stattfindet.

Neue Ransomware, gleiche Techniken und Taktiken

4. Wie umgeht Ransomware die Standard-Sicherheitstools?

5) Wie können Ransomware-Banden wie DarkSide vor dem Ransomware-Ereignis erkannt und gestoppt werden?

DarkSide hat zwar angeblich nach dem Angriff auf Colonial Pipeline seine Tätigkeit eingestellt, aber derzeit sind mehr als 100 RaaS-Gruppen aktiv, und mit Sicherheit stehen weitere bereit, ihren Platz einzunehmen. Die frühzeitige Erkennung des Verhaltens von Bedrohungsakteuren ist entscheidend, um zu verhindern, dass Ransomware Ihr Unternehmen lahmlegt. Vectra identifiziert Verhaltensweisen vor dem Angriff auf Ransomware, die von DarkSide und anderen RaaS-Gruppen verwendet werden, um die Angriffe zu stoppen.

Wenn Sie glauben, dass Ihr Unternehmen kein Ziel für Ransomware ist, fragen Sie sich einfach selbst:

  • Kann sich Ihr Unternehmen einen Ausfall von 21 Tagen leisten?
  • Kann es sich Ihr Unternehmen leisten, 287 Tage zu brauchen, um sich von einem Angriff zu erholen?**
  • Kann es sich Ihr Unternehmen leisten, 312.493 Dollar Lösegeld zu zahlen?***
  • Kann sich Ihr Unternehmen den Markenschaden eines Angriffs leisten?

Stoppen Sie Ransomware jetzt! Vectra kann Ihnen zeigen, wie.

* Coveware, "Ransomware Payments Fall as Fewer Companies Pay Data Exfiltration Extortion Demands," February 1, 2021. https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
** Emsisoft Malware Lab, "The State of Ransomware in the US: Report and Statistics 2020", 18. Januar 2021, Emisoft Blog, https://blog.emsisoft.com/en/37314/the-state-of-ransomware-in-the-us-report-and-statistics-2020/
*** Unit 42, Palo Alto Networks, "Ransomware Threat Assessments: A Companion to the 2021 Unit 42 Ransomware Threat Report," March 17, 2021, https://unit42.paloaltonetworks.com/ransomware-threat-assessments.