Ransomware-Bande DarkSide plant offenes, dezentrales Speichersystem für gestohlen Dateien

Die Ransomware-Bande DarkSide plant offenbar, ihren Partnern eine dezentrale Speicherplattform zur Verfügung zu stellen. Das Ziel dahinter: es Ermittlungsbehörden schwerer machen, Websites der Bande abzuschalten, und willigen Käufern die gestohlenen Dateien leichter zugänglich machen.

Laut KELA, einem israelischen Sicherheitsdienstleister, der sich auf die Beobachtung des Darknets spezialisiert hat, könnte dieses Modell bei den Opfern erheblichen Schaden anrichten.

„Solche Server im Iran und [anderen] Ländern sind schwerer aufzuspüren, zu blockieren und stillzulegen, da die Zusammenarbeit mit den Behörden in diesen Ländern sehr eingeschränkt ist“, so Victoria Kivilevich von KELA.

Im Interview mit der Cybersicherheitsnachrichtenseite Dark Reading berichtete sie, dass über solche dezentralen Speichersysteme gestohlene Dateien leichter zugänglich sind als sie über Tor herunterzuladen. Cyberkriminelle würden Schlange stehen, so Kivilevich.

„Unterm Strich zeigt das, dass Ransomware-Entwickler sich immer mehr bemühen, ihr Geschäft im großen Stil aufzuziehen und ein komplexes Ökosystem zu erschaffen, dessen Zweck darin besteht, den Opfern erheblichen Schaden zuzufügen“, ergänzt Kivilevich.

In seinem Werbematerial verspricht DarkSide seinen Kunden, dass die gestohlenen Daten mindestens 6 Monate lang gespeichert werden und dass die Daten nicht gelöscht werden, wenn ein Server blockiert werden sollte.

Diese Entwicklung scheint mit der Tatsache zusammenzuhängen, dass Sicherheitsanbieter und Ermittlungsbehörden jüngst vermehrt Websites von Ransomware-Banden abschalten.

Im Dark-Reading-Beitrag heißt es weiter, dass die Bande vorhat, Server im Iran und in „nicht anerkannten Republiken“ einzurichten, und dass an gestohlenen Daten interessierte Kriminelle durch ein „automatisches System“ an bestimmte Server weitergeleitet würden.

Wenn sich das Modell als Erfolg erweist, ist sicher damit zu rechnen, dass andere Ransomware-Betreiber es kopieren werden – wie sie es bereits beim von der Maze-Bande eingeführten Modell „Erst stehlen, dann verschlüsseln“ getan haben.