DarkSide Ransomware trifft führende kanadische Autovermietung – 120 GB Daten gestohlen

14. April, 2021
DarkSide Ransomware trifft führende kanadische Autovermietung - 120 GB Daten gestohlen

Das Unternehmen Discount Car and Truck Rentals in Kanada wurde im Februar 2021 Opfer einer DarkSide-Ransomware-Attacke. Dabei konnten die DarkSide Hacker wohl 120 GB an Daten stehlen. Auf der Webseite discountcar.com war dadurch die online Mietwagenbuchungsseite ab dem 14. Februar lange nicht verfügbar.

Discount Car and Truck Rentals hat etwa 300 Niederlassungen in Kanada. In einer Erklärung hieß es:

„Discount Car and Truck Rentals war einem Angriff mit DarkSide Ransomware ausgesetzt. Betroffen war überwiegend die Zentrale der Autovermietung. Ein engagiertes Team konnte den Angriff schnell isolieren und eindämmen. Das Team arbeitet daran, den Angriff zu untersuchen und den Service so schnell und sicher wie möglich wiederherzustellen.“

120 GB an Daten gestohlen

Die Hacker hinter der DarkSide-Ransomware wiesen den Autovermieter darauf hin, dass sie Beweise für ihren Datendiebstahl auf ihrer Ransomware-Datenleck-Seite veröffentlicht hatten. Die 120 GB an Daten waren alle unverschlüsselt. Darunter befanden sich Daten aus dem Bereich Finanzen, Marketing, Bank- und Kontonummern sowie und Informationen von Franchisenehmern. Die DarkSide Hacker posteten dazu zahlreiche Screenshots der Ordnerlisten der Discount Car and Truck Rentals-Systeme. Der Autovermieter gab keine Erklärung heraus zur Echtheit der gestohlenen Daten.

Die DarkSide-Hacker schrieben:

„Wir haben eine Menge interessanter Daten aus Ihrem Netzwerk heruntergeladen. Wenn Sie Beweise benötigen, sind wir bereit, Ihnen diese zur Verfügung zu stellen. Die Daten sind vorgeladen und werden automatisch veröffentlicht, wenn Sie nicht bezahlen.“

Die DarkSide Hacker

Die DarkSide Hacker begannen ihre Angriffe im August 2020. Nach ihren ersten erfolgreichen Angriffen beschlossen die Hacker, 20.000 US-Dollar aus Erpressungsgeldern an eine Wohltätigkeitsorganisation zu spenden. Die Summe ging an Children International und The Water Project.

Seinerzeit erklärten die Hacker ihre Aktionen in einer Presseerklärung wie folgt:

„Wir haben es nur auf große, profitable Unternehmen abgesehen. Wir finden es fair, dass ein Teil des gezahlten Geldes an wohltätige Zwecke geht. Egal, wie schlecht Sie unsere Arbeit finden, wir freuen uns zu wissen, dass wir geholfen haben, das Leben von jemandem zu verändern.“

Um sich vor dem Zugriff der Strafverfolgungsbehörden zu schützen, hosteten die DarkSide Hacker ihre Server und Datenspeicher im Iran. Dies war jedoch kein guter Schachzug, wie es sich herausstellte. Coveware, eine Ransomware-Verhandlungsfirma setzte die DarkSide-Operationen aufgrund von Bedenken über US-Sanktionen auf ihre interne Sperrliste.

Insgesamt hatten die DarkSide Hacker bisher keinen so guten Lauf. Anfang 2021 veröffentlichte Bitdefender ein DarkSide-Entschlüsselungstool. Damit können Opfer ihre Dateien kostenlos wiederherstellen. Wie es sich herausstellte, hatten die Hacker dummerweise denselben Schlüssel in etwa 40 % aller Angriffe verwendet.

DarkSide bot übrigens auch ein Partnerprogramm an, welches als „Ransomware-as-a-Service“ beschrieben werden kann. Es ermöglichte anderen Cyberkriminellen gegen Gebühr den Angriffscode zu verwenden. Das Bekanntwerden des Entschlüsselungscodes schadete diesem Partnerprogramm und dem Ruf von DarkSide logischerweise sehr.

DarkSide greift laut eigenen Aussagen keine Unternehmen aus folgenden Bereichen an: Medizin, Bildung, Non-Profit-Organisationen sowie Regierungsbehörden. Opfer seien nur solche Unternehmen, welche den geforderten Betrag auch zahlen können.

SANS-Sicherheitsexperte Lee Neely gibt Tipps

In einem Kommentar berichtete SANS-Sicherheitsexperte Lee Neely von einem persönlichen Vorfall. Er sei von einem Kollegen kontaktiert worden, dessen Kunde sich gerade von einem Ransomware-Angriff erholte. Zunächst war der Kunde zuversichtlich, dass sie alles vollständig wiederherstellen konnten mit ihren Back-ups. Am dritten Tagen entdeckte der Kunde jedoch einen Konfigurationsfehler im Back-up-System. Dieser machte den Großteil der Back-ups weitgehend unbrauchbar. Man musste Hunderte von Workstations einzeln neu sichern.

Wenn man Kunden offenbaren muss, dass die Backups nicht sehr effektiv waren, ist das ein sehr schwieriges Gespräch, insbesondere wenn man ihnen zuvor das Gegenteil gesagt hatte. Daher, so Neely, seien die wichtigsten Lehren daraus folgende: Backups, einschließlich deren Wiederherstellung, müssen verifiziert werden. Ein Golden-Image, also ein Clone-Image für den Systemaufbau, sollte vorhanden sein. Alle Ressourcen, einschließlich der vertraglichen und finanziellen Anforderungen, die für einen Wiederaufbau im großen Maßstab erforderlich sind, müssen identifiziert werden.

Artikel von bleepingcomputer.com, 13.02.2021: Leading Canadian rental car company hit by DarkSide ransomware
Artikel von financialpost.com, 14.02.2021: Canadian vehicle rental service hit by ransomware

Beitragsbild: Public Domain, Creative Commons CC0 von Pixabay von pixybay.com.

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen