WASHINGTON – Das Justizministerium teilte am Montag mit, dass es einen Großteil des Lösegelds beschlagnahmt habe, das ein großer US-Pipeline-Betreiber letzten Monat an ein russisches Hacker-Kollektiv gezahlt hatte, und den Spieß umgedreht, indem es in eine digitale Brieftasche gegriffen habe, um Millionen von Dollar zurückzuerobern in Kryptowährung.
Die Ermittler haben in den letzten Wochen 75 Bitcoins im Wert von mehr als 4 Millionen US-Dollar verfolgt, die Colonial Pipeline an die Hacker gezahlt hatte, als der Angriff ihre Computersysteme heruntergefahren hatte, was zu Treibstoffknappheit, einem Anstieg der Benzinpreise und Chaos bei den Fluggesellschaften führte.
Bundesermittler verfolgten das Lösegeld, als es sich durch ein Labyrinth von mindestens 23 verschiedenen elektronischen Konten der Hacking-Gruppe DarkSide bewegte, bevor sie in einem landeten, in das ein Bundesrichter ihnen nach Angaben von Strafverfolgungsbeamten und Gerichtsdokumenten erlaubte, einzubrechen.
Das Justizministerium sagte, es habe 63,7 Bitcoins im Wert von etwa 2,3 Millionen US-Dollar beschlagnahmt. (Der Wert eines Bitcoins ist im letzten Monat gefallen.)
„Der ausgeklügelte Einsatz von Technologie, um Unternehmen und sogar ganze Städte aus Profitgründen als Geiseln zu halten, ist eindeutig eine Herausforderung des 21. Jahrhunderts, aber das alte Sprichwort ‚Folge dem Geld‘ gilt immer noch“, sagte Lisa O. Monaco, die stellvertretende Generalstaatsanwältin bei der Pressekonferenz im Justizministerium.
Beamte der Strafverfolgungsbehörden hoben die Beschlagnahme hervor, um Cyberkriminelle zu warnen, dass die Vereinigten Staaten ihre Gewinne anvisieren wollten, die oft durch Kryptowährungen wie Bitcoin erzielt werden. Es sollte auch Opfer von Ransomware-Angriffen – die durchschnittlich alle acht Minuten auftreten – dazu ermutigen, die Behörden zu benachrichtigen, um bei der Wiedererlangung von Lösegeld zu helfen.
Seit Jahren entscheiden sich die Opfer dafür, Cyberkriminelle stillschweigend zu bezahlen, da sie davon ausgehen, dass die Zahlung billiger wäre als die Wiederherstellung von Daten und Diensten. Obwohl das FBI von Lösegeldzahlungen abrät, sind sie legal und sogar steuerlich absetzbar. Aber die Zahlungen – die zusammen Milliarden von Dollar betragen – haben Ransomware-Gruppen finanziert und ermutigt.
Beamte des Justizministeriums sagten, dass die Bereitschaft von Colonial, das FBI schnell einzuschalten, dazu beigetragen habe, den Lösegeldanteil zurückzubekommen, und sie lobten das Unternehmen für seine Rolle bei der ersten seiner Art durch eine neue Ransomware-Taskforce in der Abteilung, um eine Cyberkriminalität zu kapern Gewinn der Gruppe.
„Wir müssen Cyberbedrohungen weiterhin ernst nehmen und entsprechend investieren, um unsere Verteidigung zu stärken“, sagte Joseph Blount, der CEO von Colonial, in einer Erklärung. Herr Blount sagte, dass die Ermittler Colonial geholfen hätten, die Hacker und ihre Taktiken zu verstehen, nachdem seine Firma das FBI und das Justizministerium kontaktiert hatte, um sie über den Angriff zu informieren.
Die Ankündigung des Justizministeriums erfolgte auch vor dem geplanten Treffen von Präsident Biden mit dem russischen Präsidenten Wladimir V. Putin nächste Woche in Genf, wo Herr Biden voraussichtlich ansprechen wird, was amerikanische Beamte als die Bereitschaft des Kremls zum Schutz von Hackern sehen. Russland verhaftet oder liefert Verdächtige bei Ransomware-Angriffen in der Regel nicht aus.
Die New York Times berichtete letzten Monat, dass die Lösegeldzahlung der Colonial Pipeline aus der Bitcoin-Brieftasche von DarkSide abgezogen wurde, obwohl nicht klar war, wer den Umzug inszeniert hatte.
Am Montag füllte die Regierung einige der Lücken aus. DarkSide arbeitet mit der Bereitstellung von Ransomware an verbundene Unternehmen. Im Gegenzug erntet DarkSide einen Teil ihrer Gewinne.
Beamte sagten, sie hätten ein virtuelles Währungskonto identifiziert, das oft als Wallet bezeichnet wird und das DarkSide verwendet hat, um Zahlungen von einem Ransomware-Opfer einzutreiben – in Gerichtsakten nur als Victim X identifiziert, dessen Hacking-Details jedoch mit denen von Colonial übereinstimmen. Die Beamten sagten, ein Richter im Northern District of California habe am Montag einen Haftbefehl genehmigt, um Gelder aus der Brieftasche zu beschlagnahmen.
Das FBI begann im vergangenen Jahr mit den Ermittlungen gegen DarkSide und identifizierte mehr als 90 Opfer in verschiedenen Wirtschaftssektoren, darunter Fertigung, Recht, Versicherung, Gesundheitswesen und Energie, sagte Paul M. Abbate, der stellvertretende Direktor des FBI, auf der Pressekonferenz.
DarkSide tauchte zum ersten Mal im August auf und soll als Tochtergesellschaft einer anderen russischen Hackergruppe namens REvil gestartet sein, bevor es letztes Jahr seinen eigenen Betrieb eröffnete.
Wochen nachdem DarkSide Colonial angegriffen hatte, versuchte REvil mit Ransomware, Geld von JBS, einem der größten Fleischverarbeiter der Welt, zu erpressen. Der Angriff zwang das Unternehmen zur Schließung von neun Rindfleischfabriken in den USA, zerstörte Geflügel- und Schweinefleischbetriebe und hatte erhebliche Auswirkungen auf Lebensmittelgeschäfte und Restaurants, die mehr verlangen oder Fleischprodukte von ihren Speisekarten streichen mussten.
In den letzten Wochen hat Ransomware auch das Krankenhaus lahmgelegt, das die Villages in Florida, die größte Rentnergemeinde in den Vereinigten Staaten, versorgt. Fernsehnetze; Baseballteams der NBA und der Minor League; und sogar Fähren nach Nantucket und Martha’s Vineyard in Massachusetts.
Die Episoden haben digitale Schwachstellen ins nationale Bewusstsein erhoben. Beamte des Weißen Hauses sagten letzte Woche, dass sie daran arbeiten, Probleme mit der Kryptowährung zu beheben, die seit Jahren Ransomware-Angriffe ermöglicht.
Letzte Woche verglich FBI-Direktor Christopher A. Wray die Bedrohung durch Ransomware-Angriffe mit der Herausforderung des globalen Terrorismus in den Tagen nach den Anschlägen vom 11. September 2001.
„Es gibt viele Parallelen, eine große Bedeutung und einen großen Fokus von uns auf Störung und Prävention“, sagte er. „Es gibt eine gemeinsame Verantwortung, nicht nur zwischen den Regierungsbehörden, sondern auch im Privatsektor und sogar beim durchschnittlichen Amerikaner.“
Herr Wray fügte hinzu, dass das FBI 100 Softwarevarianten untersucht, die bei Ransomware-Angriffen verwendet werden, was das Ausmaß des Problems demonstriert.
Obwohl US-Beamte vorsichtig waren, die Ransomware-Angriffe nicht direkt mit Russland in Verbindung zu bringen, sagten Herr Biden, Herr Wray und andere, dass das Land Cyberkriminelle schützt.
In vielen Fällen behandelt Russland sie als nationales Vermögen. Bei einem Angriff auf Yahoo im Jahr 2014 arbeiteten beispielsweise russische Geheimdienstler Seite an Seite mit Cyberkriminellen, die es ihnen ermöglichten, von gestohlenen Daten zu profitieren, während sie sie anwiesen, E-Mail-Konten an den FSB, die Nachfolgebehörde des KGB aus der Sowjetzeit, weiterzugeben
Putin hat Hacker mit „Künstlern verglichen, die morgens gut gelaunt aufwachen und anfangen zu malen“. Die Realität, sagen US-Beamte, ist, dass sie Putin und den russischen Geheimdiensten eine Ebene plausibler Leugnung geben.
Es wird nicht nur erwartet, dass Herr Biden das Problem mit Herrn Putin anspricht, sondern das Außenministerium führt auch Gespräche mit etwa zwei Dutzend anderen Ländern über Möglichkeiten, Russland gegenseitig unter Druck zu setzen, um Cyberkriminalität zu bekämpfen.
„Wenn die russische Regierung zeigen will, dass es ihr ernst ist, gibt es viel Raum für sie, um echte Fortschritte zu demonstrieren, die wir nicht sehen“, sagte Wray letzte Woche.
Anne Neuberger, die stellvertretende nationale Sicherheitsberaterin für Cyber- und neue Technologien, warnte letzte Woche amerikanische Unternehmen davor, dass Ransomware eine dunkle Wendung genommen habe, und stellte fest, dass es in letzter Zeit „vom Datenstehlen zur Störung des Betriebs“ gekommen sei.
Die Hacker zielten direkt auf die Abrechnungssysteme von Colonial. Da diese eingefroren waren, stellten die Führungskräfte fest, dass sie keine Möglichkeit hatten, Kunden in Rechnung zu stellen und den Betrieb präventiv zu schließen. Eine vertrauliche Einschätzung der Regierung ergab, dass der Angriff den öffentlichen Nahverkehr und die chemischen Raffinerien, die für den Dieseltransport auf Colonial angewiesen sind, in die Knie gezwungen hätte, wenn die Pipeline noch zwei Tage lang geschlossen gewesen wäre.
Das Weiße Haus hielt Dringlichkeitssitzungen ab, um den Angriff zu bekämpfen. Die Biden-Regierung kündigte an, dass sie von Pipeline-Unternehmen verlangen werde, bedeutende Cyberangriffe zu melden, und dass die Regierung 24-Stunden-Notfallzentren einrichten werde, um schwere Hackerangriffe zu behandeln.
Cybersicherheitsexperten begrüßten den Schritt des Justizministeriums.
„Es ist klar geworden, dass wir mehrere Tools einsetzen müssen, um die Flut“ von Ransomware einzudämmen, sagte John Hultquist, Vizepräsident des Cybersicherheitsunternehmens FireEye. „Ein stärkerer Fokus auf Störungen kann dieses Verhalten, das in einem Teufelskreis wächst, entmutigen.“
David E. Sänger Berichterstattung beigetragen.