Nach und nach wurden mehr Details bekannt. Die Rede war von einer Double Extortion, also einer zweifachen Erpressung. Zum einen forderten die Cyberkriminellen Geld für die Freigabe der verschlüsselten IT-Infrastruktur, zum anderen drohte Darkside mit der Veröffentlichung der gestohlenen Daten. Ein Vorgehen, das inzwischen häufiger von Cyberkriminellen gewählt wird und betroffene Unternehmen immer öfter in große Bedrängnis bringt. Doch im Falle der vom Netz genommenen Pipeline traf die Cyberattacke auch Bürgerinnen und Bürger, denn es kam zu Lieferengpässen und Benzinknappheit.
Auf ihrer eigenen Webseite im Darknet meldete sich Darkside dazu am 10. Mai 2021 zu Wort. Und zwar mit einer Aussage, die einmal mehr zeigt, wie professionell die Cybercrime-Branche inzwischen agiert:
„We are apolitical, we do not participate in geopolitics, do not need to tie us with a defined government and look for other our motives.
Our goal is to make money, and not creating problems for society.
From today we introduce moderation and check each company that our partners want to encrypt to avoid social consequences in the future.”
Übersetzt etwa:
„Wir sind unpolitisch, wir beteiligen uns nicht an Geopolitik, wir haben es nicht nötig, uns mit einer bestimmten Regierung zu verbinden und suchen uns keine anderen Motive.
Unser Ziel ist es, Geld zu machen und nicht Probleme für die Gesellschaft zu schaffen.
Ab heute führen wir eine Moderation ein und überprüfen jedes Unternehmen, das unsere Partner verschlüsseln wollen, um soziale Konsequenzen künftig zu vermeiden.“
Die Cyberkriminellen entschuldigen sich also indirekt dafür, dass ihre Ransomware in diesem Fall zum Nachteil der Gesellschaft eingesetzt wurde. Darkside geht es nach eigenen Angaben nicht um Politik, sondern nur um Geld. Doch zukünftig würden die potenziellen Opfer der Darkside-Kunden erst geprüft und dann verschlüsselt. Hier zeigt sich, dass auch das Cybercrime-Dienstleistungs-Business eine krude Form von Berufsehre haben kann. Gut für die Endverbraucher, die es nicht treffen soll, schlecht für Unternehmen, die von den Moderatoren freigegeben werden.
Schon im vergangenen Jahr hat die Gruppierung mit einer Spendenaktion für Aufsehen gesorgt. Damals meldete die BBC, Darkside habe einen Teil ihrer Einnahmen an eine gemeinnützige Organisation gespendet – auch das, vor dem Hintergrund des illegalen Geschäftsmodells, eher ungewöhnlich. Verbreiteter ist da schon die Haltung, bestimmte Unternehmen und Institutionen, wie beispielsweise Krankenhäuser, aus ethischen Gründen nicht anzugreifen. Wie die Vergangenheit gezeigt hat, gilt dieses Berufsethos, wenn man das so nennen kann, nicht flächendeckend.
Doch zurück zum aktuellen Fall: Inzwischen ist in mehreren US-Medien (u. a. Bloomberg, NBC) zu lesen, dass Colonial ein Lösegeld von etwa 5 Millionen Dollar gezahlt haben soll. Offiziell bestätigt wurde diese Zahlung nicht, da sich das Unternehmen damit unter Umständen selbst strafbar gemacht hat. So soll der Pipeline-Betreiber nach der Zahlung die Möglichkeit zur Entschlüsselung der Daten gehabt haben. Jedoch, so heißt es, sei dieser Vorgang so langsam gewesen, dass das Einspielen von Back-ups schneller gelaufen sei.
Vor dem Hintergrund, dass Colonial wohl zusätzlich mit der Veröffentlichung der gestohlenen Daten erpresst wurde, könnte eine Zahlung auch der Versuch sein, ein unangenehmes Datenleak zu verhindern.
Inzwischen ist bekannt geworden, dass Darkside sich zurückgezogen hat. Vermeldet hat dies ein Mitglied der Gruppe über einen russischen Telegram-Kanal. Im Wortlaut ist die Nachricht etwa bei Krebs on Security zu finden. Zu lesen ist hier auch, dass gezahlte Gelder an einen unbekannten Empfänger umgebucht worden seien, nur Stunden vor Abschaltung der Server. Für Unternehmen, die aktuell von der Ransomware betroffen sind und nun das Lösegeld nicht mehr zahlen können, sollen nun die Entschlüsselungs-Tools frei zugänglich gemacht werden, so die Ankündigung auf Telegram.
Die Hackergruppe hat wohl die Kontrolle über die von ihnen genutzten Server verloren. Der Hintergrund ist noch unklar. So kann durchaus ein Cyberangriff der USA der Grund für den (un)freiwilligen Rückzug sein. Denn nur einen Tag zuvor hatte US-Präsident Joe Biden einen Gegenschlag angekündigt.