Neu gegründete Bundeseinheit gewinnt einen Teil des kolonialen Pipeline-Lösegeldes zurück

In einer überraschenden Wendung gab das US-Justizministerium bekannt, dass es in der Lage sei, den größten Teil der Lösegeldzahlung zurückzufordern, die Colonial Pipeline nach dem Ransomware-Angriff auf seine Infrastruktur zahlen musste. Die Ankündigung wurde von Lisa Monaco in ihrer Eigenschaft als stellvertretende US-Generalstaatsanwältin gemacht.

Das Geld wurde dank der Arbeit und Bemühungen eines neu gebildeten Bundesteams von Cyber-Experten wiedereingezogen. Die Einheit heißt Ransomware and Digital Extortion Task Force. Der Grund für die Gründung des neuen Teams war, was das DoJ eine "Epidemie" bei Ransomware-Angriffen nennt, die im letzten Jahr stattfand, unter Berufung auf die immer fortgeschritteneren Angriffe und deren zunehmende Häufigkeit.

Colonial Pipeline wurde im Mai von Ransomware getroffen, die von Darkside und den damit verbundenen bösen Akteuren gestartet wurde. Da Colonial einer der größten Flüssigbrennstofflieferanten in den gesamten USA ist und der Betrieb für riesige Teile der Infrastruktur an der Ostküste und angrenzenden Regionen von entscheidender Bedeutung ist, musste das Unternehmen das Lösegeld von etwa 4,5 Millionen US-Dollar zahlen.

Die große Frage ist, wie konnten die Bundesbehörden in das Konto gelangen, das die Lösegeldzahlung erhielt, und die Gelder zurückerhalten? Die öffentlich veröffentlichte Dokumentation im Zusammenhang mit dem Fall Colonial besagt, dass die Behörden tatsächlich den richtigen Verschlüsselungsschlüssel verwendet haben, der mit dem Konto verbunden war, das die Lösegeldzahlung erhielt. In den Dokumenten wird jedoch nicht ausdrücklich erwähnt, wie dieser Schlüssel erhalten wurde.

Derzeit gibt es drei Theorien darüber, wie das neue Cybersicherheitsteam an den Schlüssel gelangt ist, der von April Doss, der geschäftsführenden Direktorin des Institute for Technology Law and Policy, einem Teil von Georgetown Law - der größten juristischen Fakultät des Landes, angeboten wurde.

Die erste Theorie besagt, dass sie von einer Entität, die mit dem Angriff oder in irgendeiner Weise mit DarkSide in Verbindung steht, einen Tipp erhalten haben. Eine andere Theorie besagt, dass die Bundesbehörden den Schlüssel möglicherweise aufgrund einer laufenden Untersuchung von DarkSide erhalten konnten, die noch vor dem kolonialen Angriff eingeleitet wurde.

Die dritte Theorie besagt, dass es dem FBI gelungen ist, Informationen von Bitcoin oder der spezifischen Krypto-Börse zu erhalten, die mit den Konten zusammenarbeiteten, die verwendet wurden, um die Lösegeldzahlung zu widerrufen und die Rückverfolgung noch schwieriger zu machen. Auch wenn es keine eindeutigen Informationen darüber gibt, dass die Börse bereit war, dem FBI zu helfen und in diesem Fall kooperierte, wäre dies, wenn dies tatsächlich der Fall wäre, ein sehr bedeutendes Ereignis mit Auswirkungen auf den zukünftigen Kampf gegen Ransomware.

Doss fügt schließlich hinzu, dass das am wenigsten wahrscheinliche Szenario, so romantisch es auch klingen mag, darin besteht, dass das FBI es geschafft hat, den Schlüssel selbst brutal zu erzwingen.

Der große Teil von 2,3 Millionen US-Dollar, der erfolgreich eingezogen wurde, befand sich schockierenderweise immer noch auf dem allerersten Konto, auf das das Lösegeld gezahlt wurde. Dies ist ein ziemlich großes Versehen seitens der bösen Akteure, die für diese Konten verantwortlich sind.

Dass auf diese Weise eine hochkarätige Lösegeldzahlung eingezogen wurde, ist jedenfalls ein sehr bedeutendes Ereignis für die Cybersicherheit und für den weltweiten, anhaltenden Kampf gegen Ransomware im Allgemeinen. Während Ransomware-Angriffe zweifellos im laufenden Jahr und darüber hinaus andauern werden, ist dieser ungewöhnliche Fall von wiedererlangtem Geld ein Lichtblick in einer ansonsten trostlosen Landschaft.

June 8, 2021

Antworten