Colonial Pipeline-Hack ist nur die neueste Entwicklung bei zunehmenden Ransomware-Bedrohungen
Hacker haben letztes Jahr Hunderte von kritischen Systemen angegriffen und Wachhunde sagen, dass wir nicht genug unternehmen, um mehr abzuwehren.
PERSONALVIDEO, USA TODAY
Die US-Regierung hat eine Fahndung nach einem russischen Flüchtling eingeleitet, auf den eine Belohnung von 10 Millionen US-Dollar ausgesetzt ist, weil er das weltweit größte Ransomware-Programm betrieben hat, mit dem versucht wurde, Millionen von namhaften Zielen wie Boeing und dem britischen Royal Mail-Dienst zu erpressen.
Dmitry Yuryevich Khoroshev, 31, aus Woronesch, Russland, war der Anführer und Entwickler von LockBit, einer Söldner-Ransomware-Gruppe, die für Cyberangriffe auf Organisationen von gemeinnützigen Organisationen über Krankenhäuser bis hin zu Schulen angeheuert wurde, wie aus einer diese Woche veröffentlichten Bundesanklageschrift hervorgeht.
„Die meisten Menschen würden es nicht als Ehrenzeichen betrachten, beschuldigt zu werden, die zerstörerischste Ransomware-Gruppe der Welt geschaffen und verwaltet zu haben“, sagte James E. Dennehy, der zuständige Newark-Spezialagent des FBI. „Khoroshev trägt es wie eine olympische Goldmedaille.“
Der Aufenthaltsort von Khoroshev ist unbekannt. Das Außenministerium kündigte eine Belohnung von bis zu 10 Millionen US-Dollar für Hinweise an, die zu seiner Festnahme führen.
Die Lockbit-Ransomware, die erstmals im Januar 2020 in russischsprachigen Cyberkriminalitätsforen auftauchte, wurde auf der ganzen Welt entdeckt, wobei Organisationen in den Vereinigten Staaten, Indien und Brasilien zu den häufigsten Zielen zählten, sagte das Cybersicherheitsunternehmen Trend Micro letztes Jahr.
Reuters berichtete letztes Jahr, dass Lockbit-Hacker sagten, sie hätten „eine enorme Menge“ sensibler Daten vom Luft- und Raumfahrtriesen Boeing erhalten und würden diese online stellen, wenn Boeing kein riesiges Lösegeld zahlen würde. Boeing bestätigte im November, dass es in Teilen des Teile- und Vertriebsgeschäfts des Unternehmens zu einem „Cybersicherheitsvorfall“ gekommen sei, sagte jedoch, dass keine Gefahr für Flugzeuge oder die Flugsicherheit bestehe.
LockBit drohte außerdem einmal damit, gestohlene Daten zu veröffentlichen, falls der Royal Mail-Dienst in Großbritannien kein Lösegeld zahlen würde. In einer E-Mail-Antwort an Reuters sagte Royal Mail, dass Beweise aus seiner Untersuchung darauf hindeuteten, dass die angeblich von seinem Netzwerk erhaltenen Daten keine Finanzinformationen oder andere sensible Kundeninformationen enthielten.
Khoroshev wird wegen Verschwörung zu Betrug, Erpressung und ähnlichen Aktivitäten im Zusammenhang mit Computern angeklagt; Verschwörung zur Begehung von Überweisungsbetrug; und jeweils acht Anklagepunkte: vorsätzliche Beschädigung eines geschützten Computers, Erpressung im Zusammenhang mit Informationen, die unrechtmäßig von einem geschützten Computer erlangt wurden, und Erpressung im Zusammenhang mit vorsätzlicher Beschädigung eines geschützten Computers.
Die Entlarvung und Anklage des russischen Staatsbürgers hinter LockBit durch das Justizministerium ist die jüngste Anstrengung des Bundes, die Ransomware-Gruppe zu stoppen, die hinter Angriffen in fast 120 Ländern steckt, die eine halbe Milliarde Dollar erpresst haben, von denen Khoroshev 20 % einnahm, so die Bundesanwaltschaft in New Jersey . Fünf Mitverschwörer wurden angeklagt, zwei warten auf ihre Untersuchungshaft.
Die Ankündigung folgt auf eine Operation von Bundesbeamten und Strafverfolgungsbehörden aus dem Vereinigten Königreich im Februar, um die Pläne von LockBit zu stören, sagte Nicole M. Argentieri, stellvertretende Generalstaatsanwältin, in einem Video, in dem die Anklage angekündigt wurde.
Der Beamte des Justizministeriums bezeichnete die Ransomware als „eine Bedrohung, die Schulen, Krankenhäuser und andere kritische Infrastruktur angreift“.
Eine Cyber-Waffe zum Mieten
Die von Khoroshev entwickelte Ransomware oder Software ermöglichte es Kriminellen, die Daten eines Opfers zu stehlen und sie unter Androhung der Veröffentlichung aufzubewahren, wenn das Opfer nicht zahlte, heißt es in der Anklageschrift.
In der Anklageschrift heißt es, dass die Ransomware mithilfe einer Reihe von Techniken wie Hacking oder gestohlenen Zugangsdaten auf den Computer eines Opfers zugreift. Anschließend wird eine benutzerdefinierte Version von LockBit verwendet, um Dokumente und Daten zu stehlen.
Anschließend hinterlassen die Kriminellen einen „Lösegeldschein“ mit Anweisungen zur Kontaktaufnahme für Verhandlungen und einer Drohung mit der Veröffentlichung, falls das Opfer dies nicht tut, heißt es in der Anklageschrift. Kriminelle forderten das Lösegeld in der Regel in Bitcoin.
Laut der Akte begann Khoroshev im September 2019 mit der Entwicklung und Vermarktung der Ransomware unter Pseudonymen wie „LockBitSupp“ und „putinkrab“. Dritte hätten es praktisch gemietet, um es bei den Opfern einzusetzen, aber der russische Staatsbürger habe Wache gehalten und sich sogar an Lösegeldverhandlungen beteiligt, heißt es in der Anklageschrift.
Er vermarktete es in Cyberkriminalitätsforen im Darknet, zahlte Leuten 1.000 US-Dollar, um sich das LockBit-Logo tätowieren zu lassen, als eine Art Unternehmensbranding, und verwandelte die gemietete Cyberwaffe „in eine riesige kriminelle Organisation, die zeitweise als die … eingestuft wurde.“ „Die produktivste und zerstörerischste Ransomware-Gruppe der Welt“, heißt es in der Anklageschrift.
Mehr: Globale Hacking-Kampagne: Energieministerium und andere Behörden von Cyberangriffswelle betroffen.
„Putinkrab“ besiegen
Nach rund vier Jahren Ransomware-Angriffen machten Strafverfolgungsbehörden aus den USA, dem Vereinigten Königreich und „auf der ganzen Welt“ LockBit im Februar in einem koordinierten Angriff „praktisch funktionsunfähig“, heißt es in der Anklageschrift.
Britische Behörden überprüften beschlagnahmte LockBit-Daten und entdeckten Listen von Käufern, Opfern und Dokumenten, die angeblich nach Zahlung des Lösegelds gelöscht worden waren, heißt es in der Anklageschrift.
Den Angaben zufolge befanden sich von den 2.500 Opfern rund 1.800 in den USA, davon mindestens 55 in New Jersey. Die Bandbreite der Opfer reichte jedoch von Argentinien und Kenia bis Finnland und China.
Zu den in der Klage genannten Opfern gehörte ein „multinationaler Luftfahrt- und Verteidigungskonzern mit Hauptsitz in Virginia“, der eine Lösegeldforderung in Höhe von 200 Millionen US-Dollar erhielt. Die Bewältigung der Angriffe war für die Opfer kostspielig und führte zu Einnahmeverlusten.
Ebenfalls erwähnt wurden ein in Florida ansässiges Unternehmen für medizinische Dienstleistungen; zum „großen“ taiwanesischen Halbleiterhersteller; ein deutscher Automobilteilekonzern; und in New Jersey Strafverfolgungsbehörden in den Landkreisen Passaic und Monmouth sowie einem Schulbezirk im Somerset County.
Nach der Störung im Februar versuchte Khoroshev, LockBit erneut zu starten. In dem Bemühen, die Ransomware-Konkurrenz auszustechen, habe er „mit den Strafverfolgungsbehörden kommuniziert und seine Dienste im Austausch für Informationen über die Identität“ der Konkurrenten angeboten, heißt es in der Anklageschrift.
Der russische Staatsbürger wird mit den Worten zitiert: „Gib mir die Namen meiner Feinde.“
Mehr: Russischer Hacker wird von den USA wegen Ransomware-Angriffen angeklagt, die über 200 Millionen US-Dollar einbrachten.
