#Hacker-Gruppe DarkSide streckt die Waffen

Die Internet-Erpresser, die knapp eine Woche lang Teile der IT- Systeme einer der größten Ölleitungen Amerikas in digitale Geiselhaft genommen und so umgerechnet rund 4 Millionen Euro erbeutet hatten, scheinen die Kontrolle über ihre eigenen Netzwerkrechner verloren zu haben. Der Verlust umfasse offenbar die für die eigentlichen Attacken und die für die darauffolgenden Zahlungen durch ihre Opfer genutzten Rechner, heißt es bei The Record und Krebs-on-Security, zwei für gewöhnlich gut informierte Internet-Foren über IT-Security. 

Darüber hinaus habe die bei dem Pipeline-Hack unter dem Namen DarkSide in Erscheinung getretene Gruppe nun offenbar die Waffen gestreckt. So habe sie der eigenen Darstellung nach ihre Werkzeuge und Instrumente außer Gefecht gesetzt. Alle Unternehmen, die nach wie vor von einem der Verschlüsselungs- und Erpresserprogramme betroffen sind, werden die Entschlüsselungsprogramme unverzüglich zur Verfügung gestellt. Auch sei der Betrieb der eigenen Großrechner eingestellt worden; es werden nur noch Auskünfte „auf Anfrage von Strafverfolgungsbehörden“ erteilt.

Darüber hinaus hat DarkSide durch die Betreiber einschlägiger Austausch- und Chat-Foren auf digitalen Plattformen wie der russischen XSS eine Art Hausverbot erhalten. So seien die unter Decknamen operierenden Mitglieder seit Ende vergangener Woche abgetaucht. Unter dem Dach von DarkSide haben sich im vergangenen Jahr rund 30 Hacker-Teams versammelt, die sich auf die Entwicklung und den Einsatz von Erpressersoftware spezialisiert hatten. Anfang Mai landeten sie mit dem Pipeline-Hack ihren bislang größten Coup.

Bislang schwerster Angriff auf Infrastruktur

Kurz darauf hatte Amerikas Präsident Joe Biden erklärt, Schritte gegen die Angreifer der Pipeline einzuleiten. Die Sicherheitsbehörden Amerikas seien angehalten, rasch und hart vorzugehen. Auch steht nach den Worten Bidens das Weiße Haus mit Moskau wegen des bislang schwersten Angriffs auf die Infrastruktur der Vereinigten Staaten im engen Kontakt. Der Kreml sicherte seine Unterstützung zu. Wird doch allgemein vermutet, dass die Hacker aus Russland oder zumindest Osteuropa heraus arbeiten und Moskau mehr über sie weiß, als es bislang sagt.

Dieser Druck hinterlässt Spuren. Der in der Szene gut verdrahtete Analyst Dmitry Smilyanets vom Online-Magazin The Record by Recorded Future geht davon aus, dass der Angriff auf die Pipeline in der Hacker-Community das Fass zum Überlaufen gebracht hat. So wächst in der Hacker-Community offenbar der Unmut über die Betreiber von Erpresserprogrammen. Sie griffen Schulen, Versorgungsunternehmen und, wie zuletzt in Irland, medizinische Dienste an. Das sei lebensgefährlich. DarkSide hätte „eine kritische Masse an Unsinn erzeugt“, schrieb der XSS-Administrator im Internet. Das „ist gefährlich und giftig geworden“. Daher fliege die Gruppe aus dem Forum.

DarkSide hatte auf einer Webseite zuvor schon erklärt, keine politische Agenda zu haben. Alles was es wolle, sei: Geld verdienen – und dafür habe es die Pipeline angegriffen. So attackierte eines der Teams Anfang Mai die Computer der Colonial Pipeline Co. Die Hacker kaperten Teile des System und verschlüsselten mit einem Spezialprogramm massenhaft Dateien. Um die Daten wieder frei zu bekommen und den unterbrochenen Betrieb der knapp 9000 Kilometer langen Pipeline wieder aufzunehmen, hatte das Management, offenbar in Absprache mit den Sicherheitsbehörden des Landes, bislang unbestätigten Angaben der Nachrichtenagentur Bloomberg zufolge 75 Bitcoin (4 Millionen Euro) als Lösegeld gezahlt.