Wie werden Hacker durch Vulnerability Scanner gestärkt?

Der jüngste Hackerangriff auf den Pipeline-Betreiber Colonial, der für die Treibstoffversorgung der US-amerikanischen Ostküste zuständig ist, brachte im Mai die DarkSide-Gruppe in die Schlagzeilen. Die Gruppe ist dafür bekannt, die IT-Infrastrukturen großer Unternehmen zu kompromittieren und anschließend Lösegeld für die Wiederherstellung der Betriebsfähigkeit zu verlangen. Im Fall von Colonial Pipeline bestätigte der CEO des Unternehmens gegenüber dem Wall Street Journal, dass DarkSide 4,4 Millionen Dollar in Bitcoins für einen Entschlüsselungsschlüssel gezahlt wurden, der die Wiederherstellung der Daten ermöglichen sollte.

Die Geschichte begann allerdings schon im Januar. Anfang des Jahres veröffentlichte die Cybersicherheitsfirma Bitdefender ein Entschlüsselungstool, das eine Schwachstelle in der von DarkSide verwendeten Ransomware ausnutzte, um Opfern von Angriffen die Kontrolle über verschlüsselte Daten zurückzugeben. Dem MIT Technology Review zufolge bestand die Schwachstelle darin, dass dieselben digitalen Schlüssel für die Ver- und Entschlüsselung der Daten mehrerer Opfer verwendet wurden. Das Ergebnis: Am nächsten Tag erklärte DarkSide, die eigene Schwachstelle behoben zu haben.

Wie sich herausstellte, war Bitdefender nicht der erste, der die Schwachstelle von DarkSide erkannt hatte. Dem MIT Technology Review zufolge hatten zwei andere Forscher, Fabian Wosar und Michael Gillespie, damit begonnen, nach Opfern zu suchen, um ihnen auf unkomplizierte Weise zu helfen. Die beiden gehören zu einer Gruppe von Freiwilligen aus den USA, Spanien, Italien, Deutschland, Ungarn und Großbritannien, die sich „Ransomware Hunting Team“ nennt und behauptet, mehr als 300 Arten von Ransomware geknackt zu haben.

Die Sache ist die: Die Visionen von solchen Gruppen und von Cybersecurity-Unternehmen ist nicht immer deckungsgleich. Beide suchen nach einer Lösung für eine größtmögliche Anzahl an Opfern von Ransomware-Angriffen, aber auf unterschiedliche Weise: Die einen machen auf das Problem aufmerksam und bewerben ihre Tools; die anderen arbeiten diskret, veröffentlichen Hilfestellungen in Support-Foren und kündigen an, wo man Hilfe findet, vermeiden es jedoch, die Funktionsweise der Tools und die gefundenen Schwachstellen genauer zu beschreiben.

Bitdefender räumte ein, dass es DarkSide zwar gelungen war, die Schwachstelle zu beseitigen, nachdem das Entschlüsselungstool veröffentlicht wurde, argumentiert aber, dass die Gruppe das Problem ohnehin gefunden hätte. Weiter sagt Bitdefender, dass sie nicht an Tools zur Ransomware-Bekämpfung glauben, die im Stillen angeboten werden, weil Cyberkriminelle in den Hilfeforen aktiv werden oder sich als Privatanwender oder Unternehmen in Schwierigkeiten ausgeben können, während die große Mehrheit der Opfer gar nicht wüsste, dass sie auch ohne Lösegeldzahlungen ihre Daten zurückbekommen kann.

Wer von beiden Recht hat? Entscheiden Sie selbst.