In einer live gestreamten gemeinsamen Pressekonferenz teilten das US-Justizministeriums (Department of Justice - DoJ) und das FBI mit, dass Kryptowährung im Wert von 2,3 Millionen US-Dollar sichergestellt wurde. Dabei handele es sich um den Großteil des Lösegeldes aus der Colonial Pipeline-Cyberattacke, das an die Ransomware Erpresser DarkSide bezahlt wurde.

Hintergrund des Ransomware-Angriffs auf Colonial Pipeline

Am 07. Mai führte ein massiver Ransomware-Angriff auf Colonial Pipeline dazu, dass einer der größten Pipeline-Betreiber in den USA zwei Tage später 5.500 Meilen Pipeline an der Ostküste abschalten musste. Colonial Pipeline ist für den Transport von 45% des an der Ostküste verbrauchten Kraftstoffs verantwortlich. Das Unternehmen teilte mit, dass in ihre Computernetzwerke eingedrungen wurde und Daten von Ransomware-Angreifern in Beschlag genommen wurden.
Der Shutdown ließ die Kraftstoffpreise in die Höhe schnellen. Panik brach aus, Menschen stapelten Kraftstoffbehälter in ihren Kofferräumen oder füllten Plastiktüten mit Benzin. Colonial heuerte daraufhin die Cybersecurity-Firma FireEye an, deren Incident-Response-Abteilung bei den Ermittlungen behilflich sein sollte. Dem FBI wurde mitgeteilt, dass Colonial Pipeline eine Lösegeldforderung über etwa 75 Bitcoins (derzeit ca. 4,3 Millionen US-Dollar) erhalten und bezahlt hatte.

Die Analyse der Ransomware führte zu dem Ergebnis, dass es sich bei den Angreifern um eine Gruppe namens DarkSide handelt. Die vermutlich in Russland oder Osteuropa ansässigen Betreiber, die hinter dem Ransomware-Angriff stecken, wechselten im März 2021 zu einem Affiliate-Programm: Ransomware-as-a-Service (RaaS).

Das Programm zielt darauf ab, Threat Actors zu rekrutieren. Das sind Instanzen, die Schadsoftware erzeugen und unmittelbar Einfluss auf die IT-Sicherheit von Finanzinstitutionen, Unternehmen und Regierung nehmen. Sie sollen die Malware verbreiten, indem sie in Unternehmensnetzwerke eindringen, während die Core-Entwickler die Aufrechterhaltung der Malware und der Zahlungsinfrastruktur übernehmen. DarkSide hat bis dato gestohlene Daten von mehr als 40 Opfern veröffentlicht.

Eine neue Task Force entlarvt die Hacker

Hochrangige Beamte der Bundesstrafverfolgungsbehörden erklärten in einer Pressekonferenz, dass das Lösegeld von einer kürzlich ins Leben gerufenen Task Force für Ransomware und digitale Erpressung sichergestellt wurde, welche von der US-Regierung als Reaktion auf eine Welle von Cyberangriffen gegründet wurde. Möglich gemacht wurde dies durch die Rückverfolgung der Zahlungssummen zu Kryptowährungskonten, typischerweise Bitcoin, die von den kriminellen Organisationen eingerichtet werden.

Die stellvertretende Generalstaatsanwältin des US-Justizministeriums Lisa O. Monaco kommentiert: “Following the money remains one of the most basic, yet powerful tools we have.” (“Dem Geld zu folgen bleibt eines der einfachsten und dennoch mächtigsten Werkzeuge, die wir haben.”)

Während diese Rückverfolgung nicht ungewöhnlich ist, ist es selten möglich besagte Konten zu entsperren, um die Gelder freilegen zu können. Laut Gerichtsdokumenten konnte das FBI mit einem “private key” - das Äquivalent eines langen Passworts - der mit dem Bitcoin-Konto verknüpft ist, auf das Konto zugreifen, auf das das Lösegeld überwiesen wurde. Wie die Beamten Zugriff auf diesen Schlüssel erhalten konnten, bleibt jedoch ungewiss. Mögliche Zugänge wären anonyme Tipps von an der Tat beteiligten Personen, achtlose Kriminelle bzw. Kontakte zu DarkSide oder Informationen von Bitcoin oder der Kryptowährungsbörse. Eine Strafverfolgung der nicht in den USA ansässigen Gruppe DarkSide ist unwahrscheinlich. Der Tiefschlag, den sie durch die Sicherstellung eines Teils der Lösegeldsumme erlitten haben, macht allerdings Hoffnung.

Cyber Attacken immer öffentlichkeitswirksamer

Während Angriffe früher nur im kleinen Ausmaß publik wurden, müssen inzwischen immer mehr öffentliche Institutionen mit Attacken rechnen, was große Aufmerksamkeit generiert und dadurch zu höheren und schnelleren Lösegeldzahlungen führt.

Besonders Angriffe auf kritische Infrastrukturen nehmen zu. Dazu zählen u.a. Dienstleistungen
in den Bereichen Energie, Gesundheit, Informationstechnik und Telekommunikation, Transport und Verkehr, Wasser, Finanz- und Versicherungswesen oder Ernährung. Wenn diese Dienstleistungen ausfallen oder beeinträchtigt werden, kann es zu erheblichen Versorgungsengpässen kommen oder sogar zu einer Gefährdung der öffentlichen Sicherheit.

In Deutschland sorgte im Herbst 2020 die Attacke auf das Universitätklinikum Düsseldorf für Aufsehen. 30 Server fielen aus, geschätzt 100.000 Patientendaten Daten wurden entwendet und verschlüsselt, und die zentrale Notversorgung konnte nicht mehr sichergestellt werden.

Mehr Öffentlichkeit, mehr Lösegeld - und jetzt auch mehr Gegenwind

In den USA konzentriert sich nun die neu ins Leben gerufene Task Force auf die Durchbrechung, Untersuchung und strafrechtliche Verfolgung von Ransomware und digitalen Erpressungsaktivitäten. Dazu verfolgt sie die Entwicklung und den Einsatz von Malware, über die sie wiederun die verantwortlichen Cyberkriminellen identifiziert und für ihre Verbrechen zur Rechenschaft zieht.

Die Task Force zielt auch strategisch auf das gesamte kriminelle Ransomware-Ökosystem ab und arbeitet mit in- und ausländischen Regierungsbehörden sowie Partnern aus dem privaten Sektor zusammen. Die Etablierung einer solchen Task Force zeigt die Wichtigkeit des Themas Ransomware und Cyber Attacken und die Dringlichkeit, mit welche gegen diese vorgegangen werden muss.

Der VP von Analysis, Mandiant Threat Intelligence, John Hultquist lobte den Schritt des Justizministeriums, Lösegeldzahlungen von Operateuren zurückzugewinnen, welche die kritische Infrastruktur der USA stören. Es sei offensichtlich, dass es mehrerer Werkzeuge bedarf, um die Flut dieses ernsten Problems einzudämmen. Auch die Ansätze über die Strafverfolgung von Kriminellen, die sich außerhalb der Reichweite des Gesetzes befinden, müssten erweitert werden.

Auch Ran Pugach, Chief Product and Development Officer bei Ava Security, erkennt das Problem. Sie stellt fest, dass der Vorfall bei Colonial Pipeline die zunehmende Gefahr verdeutliche, die Ransomware für kritische nationale Industrie-Infrastrukturen darstelle, ebenso wie die physischen Folgen, die diese Angriffe für die Gesellschaft haben könnten.

Ein präventiver Ansatz zum Schutz vor Ransomware ist die Aufklärung der Nutzer sowie das Bewusstsein für Cyberrisiken.
In unserem #faktencheck - Ransomware erfahren Sie, wie viel Sie ein Ransomware-Angriff tatsächlich kosten kann. Weitere Informationen zum Thema Ransomware und wie Sie sich schützen können finden Sie auf unserer Themenseite Ransomware schriftlich, sowie auf unserem Youtube-Kanal im Video-Format. Mit den FAST LTA Silent Bricks und fein abgestimmten Konzepten zur Datensicherung vermeiden Sie Datenverlust, minimieren das Risiko eines Ausfalls, und verkürzen im Angriffsfall die Zeit bis zur Rückkehr zum Normalbetrieb. Informieren Sie sich über die Silent Brick System oder lernen Sie die Vorteile der Silent Bricks gleich persönlich in unserem Webinar .

Kryptowährungen scheinen anonym, sind es jedoch nicht. Auch Privacy Coins, die vermeintlich die Identität ihrer User schützen sollen, können dies nur ansatzweise. Detailliertere Informationen zum Thema Anonymität der Kryptowährungen sowie Privacy Coins finden Sie im Beitrag Bitcoin - die anonyme Währung?

Quellen:
https://www.hackread.com/ransomware-attack-cripples-us-gas-pipeline/
https://www.justice.gov/opa/pr/department-justice-seizes-23-million-cryptocurrency-paid-ransomware-extortionists-darkside
https://www.business-standard.com/article/international/fbi-says-recovered-2-3-mn-from-ransom-paid-to-colonial-pipeline-hackers-121060800136_1.html
https://text.npr.org/1004223000
https://www.hackread.com/fbi-recovers-ransom-darkside-ransomware-gang/