Zeitalter der Ransomware Achtung, Achtung, dieser Hacker-Angriff war erst der Anfang

Von Dirk Jacquemien

12.6.2021

Ransomware-Angriffe führen inzwischen sogar zu Benzin-Knappheit.
Ransomware-Angriffe führen inzwischen sogar zu Benzin-Knappheit.
Bild: Keystone

Ransomware-Angriffe legen immer häufiger kritische Infrastruktur lahm. Die Angriffe werden wohl eher zu- als abnehmen.

Von Dirk Jacquemien

Die erste Ransomware tauchte schon 1989 auf, lange bevor das Internet zum Massenmedium wurde. Der «AIDS Trojan» verbreitete sich per Diskette und fror das System seiner Opfer ein. Um den Computer wieder nutzen zu können, sollte ein Check über 189 Dollar an ein Postfach in Panama geschickt werden.

Der Autor von «AIDS Trojan» — ein Biologe mit Harvard-Abschluss und einer psychischen Störung — wurde schnell ausgemacht. Und Ransomware blieb lange ein Nischenphänomen, da die Lösegeld-Übergabe für die Kriminellen meist mit hohem Risiko verbunden war. In den 10er-Jahren jedoch begann eine wahre Ransomware-Pandemie, gegen die es keinen Impfstoff zu geben scheint.

Bitcoin macht es den Hackern leicht

Die Renaissance der Ransomware begann vergleichsweise harmlos. Ins Visier genommen wurden vor allem durchschnittliche Internet-Nutzer*innen, die vielleicht nicht immer die neusten Windows-Updates einspielten und dann schnell und in Massen durch per E-Mail oder manipulierte Websites verteilte Schadsoftware infiziert werden konnten.

Auf ihren Computern wurden dann wichtige Dateien verschlüsselt und eine Lösegeld-Forderung erschien auf dem Bildschirm. Meist forderten die Cyberkriminellen Summen von 100 oder 200 Franken, zu zahlen doch bitte in Bitcoin. Denn erst durch Kryptowährungen wurde es für die Täter ein Kinderspiel, Lösegeld über Grenzen hinweg ohne grosses Risiko der Entdeckung zu erhalten.

Ransomware galt in diesen Zeiten eher als ein kleines Ärgernis. Selber schuld, wenn man nicht die Sicherheits-Updates installiert und einfach so E-Mails von unbekannten Absendern öffnet. Der Ermittlungs-Elan der Strafverfolgungsbehörden hielt sich bei den vergleichsweise geringen Schadenssummen auch in Grenzen.

Staaten greifen ein

2017 begann aber die Eskalation, als sich staatlich gelenkte Hackergruppen an den grossflächigen Ransomware-Einsatz machten. Die Ransomwares WannaCry aus Nordkorea und NotPetya aus Russland legten Spitäler, Banken und Eisenbahnen lahm.

Hier ging es zum einem um Geld — besonders Nordkorea braucht Devisen — aber vor allem um geopolitische Interessen. Hauptziel von NotPetya war die Ukraine und mit dieser verbundene Unternehmen. Mit einer vermeintlich kriminellen Motivation der Ransomware wurde mehr schlecht als recht versucht, die Urheberschaft zu verschleiern.



Kriminelle Gruppe, staatlich toleriert

Seit vergangenem Jahr, auch bedingt durch die Corona-Krise, sind Ransomware-Angriffe eskaliert. Die Täter*innen sind hier vor allem kriminellen Gruppen, die allerdings in Staaten operieren, die deren Aktivitäten mindestens dulden. Dabei war es nie einfacher, zum Ransomware-Kriminellen zu werden.

Denn viele Gruppen bieten fertige Ransomware auf Provisionsbasis an. Gegen eine «Gewinnbeteiligung» für den Ransomware-Entwickler kann sich quasi jeder die fertige Software zunutze machen und für eigene Angriffe einsetzen.

Die russischen Hackergruppen DarkSide — die für den spektakulären Angriff auf die Colonial-Pipeline an der US-Ostküste vergangenen Monat verantwortlich gemacht wird — und ReEvil — verdächtigt im Angriff auf den Fleischkonzern JBS — haben sich auf dieses Geschäftsmodell spezialisiert. Dabei haben sie wenig in ihrem Heimatland zu befürchten, weswegen ein Ende der Angriffe nicht abzusehen ist.

Der russische Präsident Wladimir Putin hat schon 2018 öffentlich deutlich gemacht, dass er keinerlei Veranlassung sieht, gegen Hackergruppen vorzugehen, so lange sie nicht russische Interessen angreifen. «Menschen in Russland leben nach russischen Gesetzen, nicht nach amerikanischen Gesetzen», sagte Putin in einem Interview mit dem US-Fernsehsender NBC.



Ransomware löscht sich bei russischer Tastatur

Die Hackergruppen sind vorsichtig, diese von Putin formulierte Grenze nicht zu überschreiten. Die DarkSide-Ransomware hat etwa einen eingebauten Sicherheitsmechanismus, wie «Krebs on Security» berichtet. Sie überprüft, welche Tastatur mit dem infizierten Computer verbunden ist. Hat diese ein Layout einer Sprache der ehemaligen Sowjetunion — etwa Russian, Usbekisch  oder Kasachisch — löscht sich die Malware einfach selbst wieder.

So stellen die Hacker*innen sicher, dass sie nicht versehentlich die eigenen Schutzengel angreifen. In den USA schrumpft die Toleranz für die russischen Hackerangriffe dagegen beständig. Der FBI-Direktor Christopher Wray verglich den Kampf gegen Ransomware sogar auch auch schon mit jenem gegen Terrorismus. Die Problematik dürfte auch Thema beim Biden-Putin-Gipfel in Genf am 16. Juni werden.