Das Lösegeld der Colonial Pipeline wurde von einem neuen Team des Justizministeriums zurückgegeben: NPR

Das Justizministerium hat eine neue Task Force zusammengestellt, um Ransomware zu bekämpfen, nachdem Beamte sagen, dass es das teuerste Jahr war, das für die lähmenden Cyberangriffe bekannt war. Es gelang, 2,3 Millionen US-Dollar des Lösegelds zurückzuerhalten, das Colonial Pipeline bei einem Angriff Anfang dieses Jahres gezahlt hatte, teilte die Abteilung am Montag mit.

Andrew Harnik/AP


Bildunterschrift ausblenden

Bildunterschrift umschalten

Andrew Harnik/AP


Das Justizministerium hat eine neue Task Force zusammengestellt, um Ransomware zu bekämpfen, nachdem Beamte sagen, dass es das teuerste Jahr war, das für die lähmenden Cyberangriffe bekannt war. Es gelang, 2,3 Millionen US-Dollar des Lösegelds zurückzuerhalten, das Colonial Pipeline bei einem Angriff Anfang dieses Jahres gezahlt hatte, teilte die Abteilung am Montag mit.

Andrew Harnik/AP

Das Justizministerium kündigte am Montag die Rückforderung von 2,3 Millionen US-Dollar – etwa die Hälfte – des Lösegelds an, das von Hackern beim Angriff auf die Colonial Pipeline im letzten Monat gesammelt wurde. Experten sagen, es war ein überraschendes Ergebnis einer immer häufigeren und schwereren Kriminalität.

„Ransomware wird sehr selten wiederhergestellt“, sagte April Falcon Doss, Executive Director des Institute for Technology Law and Policy in Georgetown Law, der sie als „einen wirklich großen Gewinn“ für die Regierung bezeichnete. “Was wir nicht wissen, ist, ob dies den Weg für zukünftige ähnliche Erfolge ebnen wird.”

Denn es gibt mehrere ungeklärte Faktoren, die zum Erfolg der Operation beigetragen haben.

Eine neue Task Force hält den Schlüssel in der Hand

Während einer Pressekonferenz am Montag erklärten hochrangige Strafverfolgungsbeamte des Bundes, dass das Geld von einer kürzlich gestarteten Task Force für Ransomware und digitale Erpressung wiedergefunden wurde, die als Teil der Reaktion der Regierung auf eine Welle von Cyberangriffen eingerichtet worden war.

Um den Angriff auf die Colonial Pipeline aufzulösen, zahlte das Unternehmen am 8. Mai etwa 4,4 Millionen US-Dollar, um wieder Zugang zu seinen Computersystemen zu erhalten, nachdem seine Öl- und Gaspipelines durch den Osten der USA durch Ransomware lahmgelegt wurden.

Opfer dieser Angriffe erhalten sehr genaue Anweisungen, wann und wohin das Geld geschickt werden soll, daher ist es nicht ungewöhnlich, dass Ermittler Zahlungssummen auf Kryptowährungskonten, typischerweise Bitcoin, zurückverfolgen, die von den kriminellen Organisationen hinter der Erpressung eingerichtet wurden. Ungewöhnlich ist, dass diese Konten entsperrt werden können, um das Geld zurückzubekommen.

Gerichtsdokumente, die im Fall Colonial Pipeline veröffentlicht wurden, besagen, dass das FBI mit dem Verschlüsselungsschlüssel eingestiegen ist, der mit dem Bitcoin-Konto verknüpft ist, auf das das Lösegeld geliefert wurde. Die Beamten haben jedoch nicht bekannt gegeben, wie sie an diesen Schlüssel gekommen sind. Einer der Gründe, warum Kriminelle gerne Bitcoin und andere Kryptowährungen verwenden, ist die Anonymität des gesamten Systems sowie die Idee, dass auf Gelder in einer bestimmten Kryptowährungs-Wallet nur mit einem komplexen digitalen Schlüssel zugegriffen werden kann.

“Der private Schlüssel ist aus technologischer Sicht das, was es möglich gemacht hat, diese Gelder zu beschlagnahmen”, sagte Doss. Sie fügte hinzu, dass Cyber-Angreifer große Anstrengungen unternehmen würden, um alle Informationen zu schützen, die dazu führen könnten, dass jemand den Schlüssel mit einer Person oder Organisation in Verbindung bringt: “Sie werden wirklich versuchen, ihre Spuren zu verwischen.”

Beamte haben den privaten Schlüssel wahrscheinlich auf eine von drei Arten abgerufen

Eine Möglichkeit besteht darin, dass das FBI von einer Person, die mit dem Angriff in Verbindung steht, einen Hinweis erhalten hat: Entweder die Person oder die Gruppe hinter dem Plan, sagt Doss, oder jemand, der mit DarkSide in Verbindung steht, einem in Russland ansässigen Ransomware-Entwickler, der seine Malware an andere Kriminelle vermietet Gebühr oder Anteil am Erlös.

Eine zweite Theorie besagt, dass das FBI den Schlüssel dank eines unvorsichtigen Kriminellen aufgedeckt hat.

Der stellvertretende FBI-Direktor Paul Abbate sagte am Montag, dass das Büro seit letztem Jahr gegen DarkSide ermittelt.

Doss merkt an, dass es wahrscheinlich ist, dass Beamte bei ihrer Überwachung über Durchsuchungsbefehle verfügten, die es ihnen ermöglichten, auf die E-Mails oder andere Mitteilungen einer oder mehrerer Personen zuzugreifen, die an dem Programm teilgenommen haben. “Und dadurch konnten sie Zugriff auf den privaten Schlüssel erhalten, weil vielleicht jemand etwas per E-Mail geschickt hat, um sie aufzuspüren”, sagt sie.

Doss sagt, die dritte Möglichkeit besteht darin, dass das FBI den Schlüssel mit Hilfe von Bitcoin oder von der Kryptowährungsbörse abgerufen hat, wo das Geld seit seiner ersten Zahlung von einem Konto auf ein anderes gesprungen war.

Sie sagt, es sei nicht bekannt, ob eine der Börsen bereit war, mit dem FBI zu kooperieren oder auf die Vorladungen der Behörde zu reagieren – aber wenn ja, könnte dies bei der Bekämpfung von Ransomware-Angriffen ein entscheidender Faktor sein.

Was ist nicht Laut Doss ist es wahrscheinlich, dass das FBI den Schlüssel irgendwie selbst gehackt hat. Obwohl sie zugibt, dass es theoretisch möglich ist, “scheint die Idee, dass das FBI durch eine Art Brute-Force-Entschlüsselungsaktivität den privaten Schlüssel herausgefunden hat, das unwahrscheinlichste Szenario zu sein.”

Unabhängig davon, sagt Doss, werden die Behörden wahrscheinlich das Verbrechen beseitigen, wenn die Behörden in der Lage sind, die Gewinne aus den Angriffen konsequent zu entfernen.

Dem Geld zu folgen dauerte nicht lange

Allerdings machten die Angreifer in diesem Fall einen ungewöhnlichen Fehler, indem sie es versäumten, Geld in Bewegung zu halten. Die letztendlich eingezogenen 2,3 Millionen US-Dollar befanden sich immer noch auf demselben Bitcoin-Konto, an das sie geliefert worden waren.

“Das sieht man bei Cyberkriminalität wirklich nicht”, sagte Doss.

Zum Beispiel, sagte sie, gibt es einen anderen Betrug, bei dem ein Unternehmen mit falschen Anweisungen dazu gebracht wird, eine Zahlung zu leisten. “Gelder werden auf Konten bei legitimen Banken überwiesen. Die Banken wissen nicht, dass das Konto von einem betrügerischen Akteur eingerichtet wurde. Und sobald diese Gelder auf dem Konto landen, werden sie von den Kriminellen fast wieder vom Konto überwiesen.” sofort”, sagte Doss. “Innerhalb von 72 Stunden sind diese Gelder weg und sehr schwer zu verfolgen oder zu verfolgen.”

Doss vermutet, dass die Angreifer bei dem Angriff auf die Colonial Pipeline zu zuversichtlich waren, dass das Geld nicht zurückverfolgt werden konnte und ihr privater Schlüssel sicher war.

Die Vereitelung weiterer dieser Erpressungsprogramme könnte für die US-Wirtschaft von entscheidender Bedeutung werden. Laut Coalition, einem Cybersicherheitsunternehmen, das Versicherungsansprüche verfolgt, haben sich die Lösegeldforderungen von 2019 bis 2020 verdoppelt.

Diese Kosten scheinen dieses Jahr noch in die Höhe zu schießen. Im März zahlte CNA Financial Corp., eines der größten Versicherungsunternehmen in den USA, nach einem Ransomware-Angriff 40 Millionen US-Dollar, berichtete Bloomberg.

Im April forderte die Ransomware-Bande REvil 50 Millionen US-Dollar von Apple im Austausch für angeblich gestohlene Daten und Schaltpläne, die sich auf unveröffentlichte Produkte konzentrierten, berichtete Wired. Es ist unklar, ob Apple die Forderungen von REvil erfüllt hat, aber die kriminelle Gruppe drohte, die Informationen zu versteigern, wenn dies nicht der Fall wäre.

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.