Ransomware ist ein einträgliches Geschäft. Den zum Teil betrüblichen Zustand der IT-Infrastruktur vieler Unternehmen und Behörden machen sich Kriminelle zunutze, um schon mal Geldbeträge in Millionenhöhe zu erpressen. Üblicherweise läuft das so, dass sich die Angreifer automatisiert über die Ausnutzung von Sicherheitslücken oder auch via Phishing-Mails Zugriff auf ein Firmennetzwerk verschaffen, um dann recht gezielt dieses zu übernehmen und sensible Daten zu verschlüsseln. Danach folgt die Erpressermitteilung mit der Aufforderung zu zahlen, so man die eigenen Daten wieder haben will. Und es ist kein großes Geheimnis, dass viele der Betroffenen diesen Forderungen klammheimlich auch nachkommen, um größeren Schaden oder auch längere Ausfälle zu verhindern.

Pipeline

Dass dieses Thema derzeit wieder in aller Munde ist, liegt an einem besonders spektakulären Fall: Nach eine Ransomware-Attacke gegen den Betreiber musste die größte Benzin-Pipeline der USA sechs Tage lang außer Betrieb genommen werden. Dies wiederum führte – obwohl an sich nie ein Versorgungsproblem bestand – zu Hamsterkäufen und damit sehr wohl zu einer Knappheit in einigen Regionen sowie zu steigenden Preisen.

Als Angreifer wurde dabei eine Hackergruppe namens Darkside identifiziert. Diese meldeten sich wenige Tage nach dem Vorfall auch selbst zu Wort und zwar schon fast mit so etwas wie einer Entschuldigung. Man wolle keine gesellschaftlichen Probleme verursachen, hieß es darin, es gehe lediglich um das Geld. Und damit scheint man auch erfolgreich sein, laut aktuellen Berichten, soll die Betreibergesellschaft Colonial fünf Millionen Dollar bezahlt haben – nur um dann ein Entschlüsselungstool zu bekommen, das dermaßen schlecht entwickelt war, dass die Wiederherstellung der Daten auf diesem Weg schlussendlich langsamer war, als nach und nach alte Backups wieder einzuspielen.

Hackt die Hacker

Nun folgt die nächste Volte in dieser Geschichte: Darkside scheint nämlich selbst Opfer von technisch etwas versierteren Akteuren geworden zu sein. So berichtet Sicherheitsexperte Brian Krebs davon, dass die Server der Gruppe beschlagnahmt, und ihre Bitcoin-Depot gestohlen worden sein soll. Öffentlich gemacht wurde dieser Umstand von einer anderen Epresserbande namens Revil, die selbst erst vor kurzem durch die Erpressung von großen Firmen wie Acer oder Apple für Aufsehen gesorgt hat.

Dies wirft natürlich die Frage auf, wer eigentlich die Server der Gruppe beschlagnahmt hat. Immerhin hat Russland diesem Treiben bisher tatenlos zugesehen. Die Politik der Regierung dazu ist, dass Hackergruppen auch kriminelle Aktivitäten entfalten können, solange sich diese auf andere Länder beschränken – also Russland aussparen. Dies führt dazu, dass manche dieser Kriminellen – obwohl sie namentlich bekannt sind – in aller Öffentlichkeit im Luxus leben können. Gleichzeitig könnten die Server auch ganz woanders stehen, oder aber die "Beschlagnahme" erfolgte ohnehin digital – also etwa durch die Hacker des Geheimdienstes eines anderen Landes.

Vorsicht

Generell muss betont werden, dass es natürlich schwer ist, den Aussage solcher Gruppen zu vertrauen. Selbst wenn einzelne Teile der Geschichte stimmen, könnte es sein, dass die Mitglieder von Darkside einfach nur dem öffentlichen Licht entgehen wollen, um sich dann unter einem anderen Namen neu zu gruppieren. Dazu kommt, dass längst nicht klar ist, was mit der Beschlagnahme der Bitcoins der Gruppe eigentlich gemeint sein soll – und wie diese abgelaufen ist.

Trotzdem zeichnet sich ab, dass die Affäre in der Szene zu einem gewissen Umdenken führt. So berichtet Krebs auch davon, dass bekannte russische Hackerforen damit begonnen haben, Diskussionen zu Ransomware zu blockieren, da sie zu viel Aufmerksamkeit generieren würden. Und bei Revil verspricht man künftig keine Regierungsorganisation und auch keine aus dem sozialen oder Gesundheitsbereich mehr angreifen zu wollen. (apo, 15.05.2021)