Das US-Justizministerium räumt Untersuchungen von Ransomware-Angriffen nach dem Hack der Colonial Pipeline und den zunehmenden Schäden durch Cyberkriminelle eine ähnliche Priorität ein wie Terrorismus, sagte ein hochrangiger Beamter gegenüber Reuters.
Laut internen Leitlinien, die am Donnerstag (3. Juni) an US-Anwaltsbüros im ganzen Land gesendet wurden, sollten Informationen über Ransomware-Untersuchungen vor Ort zentral mit einer kürzlich eingerichteten Task Force in Washington koordiniert werden.
„Es ist ein spezieller Prozess, um sicherzustellen, dass wir alle Ransomware-Fälle verfolgen, unabhängig davon, wohin sie in diesem Land weitergeleitet werden, damit Sie die Verbindungen zwischen den Akteuren herstellen und sich hocharbeiten können, um die gesamte Kette zu unterbrechen“, sagte John Carlin, Principal Associate Deputy Generalstaatsanwalt im Justizministerium.
Im vergangenen Monat drang eine Cyberkriminelle Gruppe, die nach Angaben der US-Behörden von Russland aus operiert, in den Pipeline-Betreiber an der US-Ostküste ein, sperrte dessen Systeme und forderte Lösegeld. Der Hack verursachte einen mehrtägigen Shutdown, führte zu einem Anstieg der Gaspreise, Panikkäufen und lokal begrenzten Treibstoffknappheiten im Südosten.
Colonial Pipeline beschloss, den Hackern, die in ihre Systeme eingedrungen waren, fast 5 Millionen US-Dollar zu zahlen, um den Zugriff wiederzuerlangen, teilte das Unternehmen mit.
Die DOJ-Anleitung bezieht sich speziell auf Colonial als Beispiel für die „wachsende Bedrohung, die Ransomware und digitale Erpressung für die Nation darstellen“.
„Um sicherzustellen, dass wir die notwendigen Verbindungen zwischen nationalen und globalen Fällen und Ermittlungen herstellen und uns ein umfassendes Bild der nationalen und wirtschaftlichen Sicherheitsbedrohungen machen können, denen wir ausgesetzt sind, müssen wir unsere interne Nachverfolgung verbessern und zentralisieren“, heißt es in der Leitlinie von Reuters und bisher nicht gemeldet.
Die Entscheidung des Justizministeriums, Ransomware in diesen speziellen Prozess einzubinden, zeigt, wie das Problem priorisiert wird, sagten US-Beamte.
„Wir haben dieses Modell schon früher im Zusammenhang mit Terrorismus verwendet, aber noch nie mit Ransomware“, sagte Carlin. Der Prozess war in der Regel einer kurzen Liste von Themen vorbehalten, darunter Fälle der nationalen Sicherheit, sagten Rechtsexperten.
In der Praxis bedeutet dies, dass von Ermittlern in US-Anwaltskanzleien, die mit Ransomware-Angriffen umgehen, erwartet wird, dass sie sowohl aktualisierte Falldetails als auch aktive technische Informationen an die Führer in Washington weitergeben.
Der Leitfaden fordert die Büros auch auf, andere Untersuchungen zu prüfen und einzubeziehen, die sich auf das größere Ökosystem der Cyberkriminalität konzentrieren.
Die Liste der Untersuchungen, die nun eine zentrale Benachrichtigung erfordern, umfasst laut Leitlinien Fälle von: Antiviren-Gegendiensten, illegalen Online-Foren oder -Marktplätzen, Kryptowährungsbörsen, kugelsicheren Hosting-Diensten, Botnets und Online-Geldwäsche-Diensten.
Bulletproof-Hosting-Dienste beziehen sich auf undurchsichtige Dienste zur Registrierung von Internet-Infrastrukturen, die Cyberkriminellen helfen, anonym Einbrüche durchzuführen.
Ein Botnet ist eine Gruppe kompromittierter, mit dem Internet verbundener Geräte, die manipuliert werden können, um digitales Chaos anzurichten. Hacker bauen, kaufen und vermieten Botnetze, um Cyberkriminalität zu begehen, die von Werbebetrug bis hin zu großen Cyberangriffen reicht.
„Wir möchten wirklich sicherstellen, dass Staatsanwälte und Kriminalbeamte Meldungen erstatten und verfolgen … Kryptowährungsbörsen, illegale Online-Foren oder Marktplätze, auf denen Menschen Hacker-Tools und Zugangsdaten für Netzwerkzugriffe verkaufen – die Botnetze verfolgen, die mehreren Zwecken dienen“, sagte Carlin.
Mark Califano, ein ehemaliger US-Anwalt und Experte für Cyberkriminalität, sagte, die „verstärkte Berichterstattung könnte es dem Justizministerium ermöglichen, Ressourcen effektiver einzusetzen“ und „gängige Exploits zu identifizieren“, die von Cyberkriminellen verwendet werden.
