Die DarkSide Ransomware ist eine relativ neue Form von Ransomware, die Angreifer bereits gegen eine Reihe umsatzstarker Großunternehmen eingesetzt haben, um sensible Daten zu verschlüsseln, zu stehlen und ihre Veröffentlichung für den Fall anzudrohen, dass das geforderte Lösegeld nicht gezahlt wird. Angesichts der potenziellen Auswirkungen beschreiben wir hier die Mechanismen, die diese Ransomware anwendet, damit Sicherheitsteams das Risiko für ihr Unternehmen besser einschätzen können. Außerdem empfehlen wir Best Practices, die das Risiko eines erfolgreichen Angriffs verringern.

Über die DarkSide Ransomware

Die DarkSide Ransomware tauchte erstmals im August 2020 auf und wurde im März 2021 auf v2.0 aktualisiert. Sie wird mit der DarkSide-Gruppe in Verbindung gebracht und mittlerweile oft als Ransomware-as-a-Service (RaaS) angeboten. Die DarkSide Ransomware-Gruppe ist bekannt dafür, ihre Opfer gleich zweifach zu erpressen: Sie verlangt Geld sowohl für die Entsperrung der betroffenen Computer als auch für die Herausgabe der ausgeschleusten Daten.

Die Techniken, die die Angreifer bei der DarkSide Ransomware einsetzen, können sehr ausgefeilt sein: Erstzugriff durch die Ausnutzung öffentlich zugänglicher Anwendungen (z. B. RDP), Rechteausweitung und Behinderung von Abwehrmaßnahmen. Die DarkSide-Ransomware nutzt die Sicherheitslücken CVE-2019-5544 und CVE-2020-3992 aus. Patches für beide Lücken sind weithin verfügbar, doch die Angreifer haben es auf Unternehmen abgesehen, die ungepatchte oder ältere Software-Versionen verwenden. Bei der Verschlüsselung erstellt die DarkSide Ransomware eine spezifische Erpressernachricht und Dateierweiterung für ihre Opfer.

Wenngleich DarkSide Berichten zufolge nach dem sechstägigen Ausfall der Colonial Pipeline Anfang Mai dichtgemacht hat, unternimmt die US-Regierung weiter erhebliche Anstrengungen, um die Ransomware-Industrie als potenzielle Bedrohung der nationalen Sicherheit zu bekämpfen. Unternehmen sollten weiterhin in Maßnahmen investieren, um das Risiko eines erfolgreichen Angriffs zu verringern und Prozesse zur Reaktion auf Angriffe zu implementieren.

Technische Details

Erstzugriff

Die DarkSide Ransomware führt Brute-Force-Angriffe durch und nutzt bekannte Schwachstellen im Remote Desktop Protocol (RDP) aus, um sich ersten Zugriff zu verschaffen. Nachdem das gelungen ist, führt die DarkSide Ransomware eine Validierung auf den Rechnern aus, die infiziert werden sollen. Bei der anfänglichen Code-Ausführung sammelt die Ransomware Informationen zu den Computernamen und der Systemsprache. DarkSide zielt offenbar auf englischsprachige Länder ab. Die DarkSide Ransomware überprüft die Standard-Systemsprache wie unten dargestellt.

Rechteausweitung und Seitwärtsbewegung

Die Rechteausweitung besteht aus Techniken, die eingesetzt werden, um höhere Berechtigungen auf einem System oder in einem Netzwerk zu erlangen. Bei einem Angriff zur Rechteausweitung macht sich ein böswilliger Benutzer einen Programm- oder Konfigurationsfehler in einer Anwendung oder einem Betriebssystem zunutze. Ziel der Rechteausweitung ist es, erweiterten Zugriff auf Ressourcen zu erhalten, die dem Benutzer eigentlich nicht zur Verfügung stehen dürften. Die DarkSide Ransomware prüft, ob der Benutzer über Administratorrechte verfügt; falls nicht, versucht sie, Administratorrechte zu erwerben, indem sie eine UAC-Umgehungstechnik einsetzt und dabei das CMSTPLUA COM-Interface nutzt, wie nachfolgend gezeigt.