Lösegeld in Millionenwert beschlagnahmt Der Bitcoin-Coup des FBI ist eine Kampfansage

Nachdem Erpresser mehrere Millionen Dollar von Colonial Pipeline erbeutet hatten, haben US-Ermittler einen Großteil des Lösegelds beschlagnahmt. Im Visier: die Infrastruktur der Kriminellen.
Lisa Monaco vom US-Justizministerium: Die US-Regierung will nun die Zahlungsströme der Erpresser attackieren

Lisa Monaco vom US-Justizministerium: Die US-Regierung will nun die Zahlungsströme der Erpresser attackieren

Foto: JONATHAN ERNST / POOL / EPA

Es war eine der spektakulärsten Hackerattacken des Jahres: Als Ransomware-Erpresser im Mai das Unternehmen Colonial Pipeline lahmlegten, liefen die Tankstellen an der US-Ostküste trocken und es kam zu Panikkäufen. Nun hat die US-Justiz zumindest einen Teilerfolg erzielt: Nach eigenen Angaben konnte sie einen großen Teil des gezahlten Lösegelds beschlagnahmen. Dieser Schritt ist mehr als nur ein Ermittlungserfolg. Er ist eine Kampfansage der US-Regierung an alle Ransomware-Banden.

Wie das US-Justizministerium am Montag bekannt gab, hat das FBI 63,7 Bitcoin im Wert von derzeit etwa 2,3 Millionen Dollar beschlagnahmt. Den Ermittlern sei es gelungen, eine digitale Geldbörse – eine sogenannte Wallet – zu identifizieren, die die Angreifer benutzt hatten, um die Beute zu verteilen. »Den Geldströmen zu folgen, ist eins der einfachsten und dennoch mächtigsten Mittel, die uns zur Verfügung stehen«, erklärte Lisa Monaco vom US-Justizministerium. Das FBI schaffte es zudem, an die Verschlüsselungs-Codes zu kommen und die Wallet zu übernehmen. Wie genau dies den Ermittlern gelungen ist, behält das FBI aber für sich.

Den Bundespolizisten half es, dass Zahlungen mit Bitcoin entgegen dem Klischee nicht anonym sind: Sämtliche Transaktionen lassen sich auf der öffentlichen Blockchain verfolgen und so letztlich wieder den Beteiligten zuordnen. Kriminelle Banden nutzen häufig Strohleute, die das Geld für sie abheben und dafür einen Teil des Geldes behalten.

Angriffe auf die Infrastruktur

Der Angriff auf Colonial Pipeline hatte Anfang Mai stattgefunden. Die Angreifer waren in das Unternehmensnetzwerk eingedrungen und hatten interne Daten verschlüsselt und kopiert. Die Firma schloss daraufhin die Pipeline, durch die fast die Hälfte aller an der US-Ostküste verbrauchten Kraftstoffe laufen, für mehrere Tage komplett. In Washington hatten 88 Prozent der Tankstellen keinen Treibstoff mehr und auch in anderen Teilen des Landes gab es Panikkäufe.

Gegen die Zahlung von 75 Bitcoins – damals circa 4,5 Millionen Dollar – lieferten die Angreifer Colonial Pipeline eine Entschlüsselungs-Software. Diese erwies sich jedoch als nutzlos, da sie zu langsam war, um die Unternehmenssysteme wieder ans Netz zu bringen. Das Unternehmen behalf sich schließlich mit den eigenen Sicherheitskopien, um den Betrieb nach mehreren Tagen wiederaufzunehmen. Obwohl ein Großteil des gezahlten Lösegelds sichergestellt wurde, ist die zurückerlangte Beute wegen eines Kurseinbruchs von Bitcoin  derzeit nur etwa die Hälfte wert.

Der Angriff auf den Pipeline-Betreiber entwickelte sich schnell zum Politikum. Die US-Ermittler beschuldigten die Ransomware-Gruppe »DarkSide«, die sie in Russland vermuten. Aufgrund der weltweiten Aufmerksamkeit stellte jene Gruppe von Kriminellen daraufhin ihre Aktivitäten ein . Ob sich die Hinterleute von »DarkSide« aber tatsächlich komplett zurückgezogen haben, ist unklar. Insgesamt verzeichnen die US-Behörden mittlerweile 90 verschiedene Ransomware-Banden.

Der Ermittlungserfolg des FBI wirft ein Schlaglicht auf die ausgefeilte Vorgehensweise der Online-Erpresser. Arbeitsteilung gehört zum Geschäft: Während die Hinterleute die Verschlüsselungs-Software bereitstellen und die Verhandlung mit den Opfern führen, werden die Unternehmensnetzwerke selbst von einer Vielzahl anderer Angreifer attackiert. Diese versuchen etwa, per E-Mail Schadsoftware an die Firmen zu schicken oder sie suchen Schwachstellen in der Infrastruktur der Unternehmen. Im Erfolgsfall teilen sich die Angreifer die Beute. Der jetzt beschlagnahmte Anteil des Lösegelds entspricht dem üblichen Lohn für die Hacker, die die Schadsoftware platziert hatten.

Biden macht Ransomware-Angriffe zur Chefsache

Nach den spektakulären Angriffen auf Colonial Pipeline und den weltgrößten Fleischproduzenten JBS  hat US-Präsident Biden das Problem Ransomware kürzlich zur Chefsache gemacht. Dabei baut er Druck auf Russland auf, von wo aus angeblich viele der Banden operieren. Bidens Sprecherin Jen Psaki sagte Anfang Juni vor Journalisten: »Der Präsident ist überzeugt, dass Präsident Putin eine Rolle dabei zukommt, solche Attacken zu stoppen und zu verhindern.« Biden wolle Putin auch bei ihrem geplanten Treffen am 16. Juni in Genf auf das Thema ansprechen, heißt es.

Die US-Regierung setzt einerseits auf Vorbeugung. In einem offenen Brief  hat das Weiße Haus von Unternehmen mehr Anstrengungen gefordert, damit Angreifer erst gar keine Gelegenheit bekommen, ihre Netzwerke zu übernehmen. US-Firmen sollen beispielsweise unternehmensweit auf eine Zweifaktor-Authentifizierung setzen und regelmäßig Sicherheitskopien anlegen, um im Falle eines Angriffs den Betrieb schnell wieder aufnehmen zu können. Gleichzeitig appelliert die US-Regierung an Unternehmen, Erpresser keinesfalls zu bezahlen. So sollen deren Einnahmequellen ausgetrocknet werden.

Parallel hat die US-Regierung eine Taskforce gegründet, zu der neben dem FBI auch US-Bundesanwälte und Spezialisten zur Bekämpfung von Geldwäsche gehören. Die Ermittler versuchen, nicht nur die Ransomware-Banden selbst zu überführen, sondern sie ermitteln auch gegen die Infrastruktur, die von den Kriminellen genutzt wird. Dabei geht es zum Beispiel um Untergrund-Foren, über die die Schadsoftware verteilt wird, um Zahlungsdienste, mit denen das Lösegeld über Ländergrenzen hinweg geschleust wird, und um sogenannte »Bulletproof-Hoster« wie den Cyberbunker, die Kriminellen in ihren Rechenzentren Unterschlupf bieten.

Paul Abbate, der stellvertretende Direktor des FBI, erklärte, man werde »alle uns zur Verfügung stehenden Mittel nutzen sowie unsere nationalen und internationalen Verbindungen einsetzen, um das Geschäft mit Ransomware-Attacken zu durchkreuzen und unsere Wirtschaft und die amerikanische Öffentlichkeit zu schützen«.

Mit Material von dpa und Reuters