Trojaner als Milliardengeschäft

Nach der Lösegeldzahlung des US-Pipelinebetreibers Colonial erwarten Experten weitere Cyberattacken mit aktualisierter Ransomware

  • Von John Dyer, Boston
  • Lesedauer: 4 Min.
Cyberangriff: Trojaner als Milliardengeschäft

Öl fließt wieder in den Südosten der USA, nachdem der Pipelinebetreiber Colonial Berichten zufolge fünf Millionen Dollar zahlte, um einen wochenlangen Cyberangriff mit sogenannter Ransomware zu beenden. »Colonial wird so viel Benzin, Diesel und Kerosin transportieren, wie es sicher möglich ist, und wird dies auch weiterhin tun, bis sich die Märkte wieder normalisiert haben«, teilte das in Georgia ansässige Unternehmen mit. Man werde »Millionen von Gallonen pro Stunde an die Märkte« liefern.

Behörden zufolge steckt hinter der Attacke eine russische Hacker-Gang mit dem Namen Dark Side. Finanzielle Ziele scheinen ihr Motiv gewesen zu sein. »Wir sind unpolitisch, wir beteiligen uns nicht an der Geopolitik. Es ist nicht nötig, uns mit einer bestimmten Regierung in Verbindung zu bringen«, schrieb die Gruppe auf ihrem Blog. »Unser Ziel ist es, Geld zu verdienen, und nicht, Probleme für die Gesellschaft zu schaffen.«

Doch die gab es. Die Treibstoffengpässe, die nach dem Angriff am 7. Mai auftraten, machten deutlich, wie anfällig die kritische Infrastruktur der Vereinigten Staaten für Cyberbedrohungen ist. Autofahrer von Texas bis New Jersey standen stundenlang in Schlangen an Tankstellen - Szenen, die an die Ölkrise von 1973 erinnerten. Am Wochenende hatten mehr als 40 Prozent der Tankstellen in Georgia keinen Treibstoff mehr, wie auf der Webseite Gas-Buddy zu lesen war. Sogar fast 60 Prozent der Tankstellen in North Carolina hatten kein Benzin. Die Engpässe sorgten auch für deutliche Preissteigerungen. Experten erwarten, dass sich die Versorgung über die 8850 Kilometer lange Pipeline erst innerhalb einer Woche wieder normalisieren wird.

Ransomware ist ein Trojaner, der die Computer und Informationstechnologien von Regierungen, Unternehmen oder Einzelpersonen lahmlegt, indem die Daten verschlüsselt werden. Die Hacker verlangen dann für die Freigabe ein Lösegeld, oft in Form von Bitcoins oder einer anderen Kryptowährung. Die US-Regierung rät generell davon ab zu zahlen. Während Präsident Joe Biden die Reaktion von Colonial nicht kommentierte, deutete seine Sicherheitsberaterin Anne Neuberger an, es sei wohl unvermeidlich gewesen: »Wir erkennen an, dass Unternehmen oft in einer schwierigen Lage sind, wenn sie keine Backups haben und die Daten nicht wiederherstellen können.«

Das Thema Cybersicherheit hat die Politik schon oft beschäftigt. Ende vergangenen Jahres gaben die USA bekannt, dass Hacker eine populäre Software-Management-Anwendung namens Solar Wind benutzt hatten, um sich Zugang zu Servern des Heimatschutz-, des Finanzministeriums und anderer Behörden zu verschaffen. Das Ausmaß des Angriffs und die Menge der kompromittierten Informationen schockten die Führung. Joe Biden beschuldigte die russische Regierung, hinter dem Angriff zu stecken und verhängte neue Sanktionen gegen Moskau. Außerdem hat er kürzlich eine neue öffentlich-private Initiative zur Cybersicherheit sowie zur Cyberabwehr für Regierungssysteme ins Leben gerufen.

Bei Ransomware-Attacken wurden im Jahr 2020 durchschnittlich 310 000 Dollar Lösegeld gefordert, wie Unit 42, ein Expertenteam der IT-Sicherheitsfirma Palo Alto Networks, ermittelt hat. Dies sei ein Anstieg um 171 Prozent gegenüber 2019 gewesen. Das Unternehmen PurpleSec wiederum schätzt, dass solche Angriffe im vergangenen Jahr weltweit insgesamt etwa 20 Milliarden Dollar kosteten, beinahe eine Verdoppelung gegenüber 2019.

Die Gruppe Dark Side gab jetzt übrigens auch bekannt, dass nicht identifizierte Regierungsbehörden ihre Server beschlagnahmt und ihre Bankkonten geschlossen hätten. Nach dem jetzigen Angriff auf Colonial werde man sich zurückziehen.

Lesen Sie auch: Cyberkriminelle nehmen Heimarbeit ins Visier

Cybersecurity-Experten gehen allerdings eher davon aus, dass sich die Gruppe in den kommenden Wochen wahrscheinlich aufspalten und zu neuen Teams zusammenschließen werde. Da die Hacker jetzt bewiesen hätten, dass sie auch große Unternehmen erfolgreich um Millionen prellen können, seien weitere Angriffe zu erwarten. »Diese Ransomware-Betreiber versuchen eher, sich aus dem Rampenlicht zurückzuziehen, als dass sie plötzlich den Fehler ihres Handelns einsehen«, schreibt die Gruppe Intel 471, die sich selbst als Cybercrime-Geheimdienst bezeichnet, in ihrem Blog. »Einige werden höchstwahrscheinlich in eigenen geschlossenen Gruppen unter neuem Namen operieren. Daher werden aktualisierte Ransomware-Varianten wieder auftauchen.«

nd Journalismus von links lebt vom Engagement seiner Leser*innen

Wir haben uns angesichts der Erfahrungen der Corona-Pandemie entschieden, unseren Journalismus auf unserer Webseite dauerhaft frei zugänglich und damit für jede*n Interessierte*n verfügbar zu machen.

Wie bei unseren Print- und epaper-Ausgaben steckt in jedem veröffentlichten Artikel unsere Arbeit als Autor*in, Redakteur*in, Techniker*in oder Verlagsmitarbeiter*in. Sie macht diesen Journalismus erst möglich.

Jetzt mit wenigen Klicks freiwillig unterstützen!

Unterstützen über:
  • PayPal
  • Sofortüberweisung