Ransomware-Hacker erhalten Status als „Cyberterroristen“

Das FBI erkärt die Hackergruppe hinter der REvil-Ransomware zu Cyberterroristen. Nun beginnen sie, Daten zu versteigern. Bei der ersten Auktion geht es um „saftige Informationen“ zu Nicki Minaij, Mariah Carey und Lebron James. Zu bezahlen ist ausschließlich mit Monero. Beginnt nun das, was Tim May schon 1993 als das BlackNet beschrieb?

BlackNet is in the business of buying, selling, trading, and otherwise
dealing with *information* in all its many forms.
– Tim May, 1993

Was genau die rote Linie war, die die Macher der REvil Ransomware überschritten haben, ist schwer zu sagen. Es hatte aber etwas mit dem Einfall in die New Yorker Anwaltskanzlei Grubman Shire Meiselas zu tun. Diese war der bisher größte Coup der Bande.

Die Kanzlei vertritt zahlreiche Promis und Unternehmen der Unterhaltungsbranche. Darunter sind Lady Gaga, Nicki Minaj, Madonna, Mariah Carey, Bruce Springsteen, Mary J. Blidge, AC/DC, Elton John, Mike Tyson und viele mehr. Auch bekannte Unternehmen wie Facebook, Sony, Samsung, Spotify, HBO, MTC und die Universal Music Group sind unter den Kunden der Kanzlei.

Zunächst wollten die Hacker, wie üblich, dass die Kanzlei ein Lösegeld bezahlt, um den Schlüssel zu erhalten, mit dem sich die Daten wiederherstellen lassen. Doch nachdem die Kanzlei sich sträubte, wurde ihnen klar, dass sie mit den erbeuteten Daten auch mehr machen können. Also drohten sie damit, sie zu veröffentlichen.

Und weil sie schon dabei waren, behaupteten sie auch gleich noch, in den Daten schmutzige Wäsche von US-Präsident Donald Trump entdeckt zu haben. Sie schrieben: „Herr Trump, wenn Sie Präsident bleiben wollen, halten Sie sich ran, ansonsten können Sie das für immer vergessen. Und ihr Wähler, wir wissen, dass ihr ihn nach der Publikation mit Sicherheit nicht mehr euren Präsidenten nennen wollt.“ Details sind aber nicht bekannt; die Anwaltskanzlei dementiert, Trump zu vertreten. Ein „Probeleak“ von 160 E-Mails enthielt, schreibt die Forbes, kein winziges Anzeichen von Schmutz; die Hacker haben danach zwar behauptet, die Daten verkauft zu haben, aber dies war, so Experten, lediglich ein Manöver, um den Bluff aufrecht zu erhalten.

Ein Auktionshaus für gestohlene Daten

Irgendwann in diesem Zuge kam es zur Klassifizierung als „Cyberterrorismus“. So erklärte die Anwaltskanzlei, es sei ihr bewusst, dass die „Verhandlung mit oder das Zahlen von Lösegeld an Terroristen“ ein Verstoß gegen Bundesgesetze darstelle. Man sei dankbar für die Unterstützung durch die Klienten. Niemand sei „heutzutage sicher vor Cyberterrorismus.“

Da die Hacker nun also Cyberterroristen sind, ist es der Kanzlei verboten, sie zu bezahlen. Ob nun für die Wiederherstellung der Daten oder für deren Unter-Verschlusshaltung. Diese Klassifizierung könnte der Ransomware das Genick brechen, da sie es den Opfern verbietet, zu bezahlen, selbst dann, wenn es für sie ökonomisch sinnvoll wäre.

Also müssen die REvil-Hacker einen anderen Weg beschreiten, um die Daten zu Geld zu machen: Sie verkaufen sie im Darknet. Dafür haben sie auf ihrer Onion-Webseite bereits ein Auktionshaus eingerichtet, bei dem die Kunden anonym für Daten bieten können. Eine der ersten Auktionen verschachert seit Anfang Juni die Daten eines kanadischen Agrarunternehmens. Die Gebote starten mit 50.000 Dollar, für 100.000 Dollar gibt es die Sofortkauf-Option.

Bald darauf folgten die Daten eines US-Lebensmittelgroßhändlers sowie von US-Anwaltskanzleien. Diese enthalten unter anderem persönliche Informationen über Klienten sowie Dokumentationen und Informationen zu Patentanträgen. Letztere Daten starten mit einem Gebotspreis von einer Million Dollar und einem Sofortkauf für 10 Millionen Dollar, da sie, so die Hacker, relevant für Industriespionage sind.

Der Gebotsprozess auf der Tor-Website ist komplett anonym. Die Zahlung findet über die anonyme Kryptowährung Monero statt und kann ebenfalls nicht nachverfolgt werden. Um an der Auktion teilzunehmen, müssen die Bieter 10 Prozent ihres Gebots an eine Adresse von REvil überweisen, um zu demonstrieren, dass sie es ernst meinen. Neben den Details zu den Geboten erklären die Seiten der Auktion auch, wie und wo man Monero kaufen kann.

„Saftige Informationen“

Laut Analysen hat REvil in den vergangenen Monaten begonnen, verstärkt Fimen anzugreifen, die Daten haben, die man gut versteigern kann. In den letzten Wochen fielen ihr in Nordamerka eine Buchhaltungsfirma, ein Immobilienmakler sowie eine Duty-Free-Kette zum Opfer.

Ein Fokus scheint dabei auch auf Bezahlsystemen zu liegen, um beispielsweise Kreditkartendaten abzugreifen. Nachdem dies einmal gelungen war, haben die Hacker offenbar versucht, bei Intercard, dem Anbieter der Karten, ein Lösegeld zu erpressen. Nachdem dieser sich geweigert hat, stellten die Hacker die Daten ebenfalls auf ihre Auktionsseite zum Verkauf.

Ab dem ersten Juli möchte die Gang „saftige“ Informationen zu Nicki Minaj, Mariah Carey und Lebron James verkaufen. Gegen ein Mindesgebot von 600.000 Dollar können Kunden Verträge, Telefonnummern, Musikrechte, private Korrespondenzen und mehr ersteigern. Die Hacker versprechen „großes Geld und soziale Manipulation, Schlammschachten hinter den Kulissen und Sexskandale, Drogen und Verrat,“ wie auch eine „Bestechung durch die Demokratische Partei.“ Die Anwaltskanzlei kann die Auktion jedoch noch aufhalten, indem sie 42 Millionen Dollar bezahlt.

Ob es wohl tatsächlich ein ausreichend großes Interesse an den Daten gibt? Für ein wenig Schmutz über Sternchen scheinen 600.000 Dollar etwas viel zu sein. Eventuell finden sich in den Daten Informationen wie zu Steuerhinterziehung, durch die die Promis erpressbar werden; eventuell finden sich in Korrespondenzen tatsächlich schmutzige Infos über die Demokratische Partei, was die Daten für den politischen Wahlkampf interessant machen dürfte. Aber ob die Angebote wirklich so ein Knüller sind, wie die Hacker behaupten, darf man bezweifeln. Vielleicht wird die große Lehre aus der Geschichte sein, dass Daten eben doch nicht so wertvoll sind, wie oft suggeriert wird. Vielleicht sind sie nicht das Öl des 21. Jahrhunderts – sondern eher der Abfall.

Tim May hat es schon 1993 vorausgesehen

Dennoch leitet die REvil-Bande nun etwas ein, das schon lange vorhergesagt wurde. Schon 1993 hat Tim May das BlackNet entworfen, eine Plattform, auf der im Schutz der Kryptographie alle Arten von geschützten Daten gehandelt werden.

We are interested
in information in the following areas, though any other juicy stuff is
always welcome. „If you think it’s valuable, offer it to us first.“

– trade secrets, processes, production methods (esp. in semiconductors)
– nanotechnology and related techniques (esp. the Merkle sleeve bearing)
– chemical manufacturing and rational drug design (esp. fullerines and
protein folding)
– new product plans, from children’s toys to cruise missiles (anything on
„3DO“?)
– business intelligence, mergers, buyouts, rumors

Später hat May sein damals eher aktivistisches BlackNet-Projekt akademisch eingeordnet. Er beschreibt „Information Markets“ als eine der „interessantesten Anwendungen“ von digitalem Bargeld. Auf ihnen kann „Information aller Art gekauft und verkauft werden. Anonymität bietet einen wichtigen Schutz für Käufer und Verkäufer, vor allem, wenn die Angebote als illegal oder reguliert gelten. Einige Beispiele: Unternehmensgeheimnisse, militärische Geheimnisse, Kreditdaten, medizinische Daten, Dokumente verbotener Religionen, Pornographie und so weiter.“

Die Implikationen für die Spionage seien „profund, aber größtenteils unaufhaltbar.“ Jeder mit einem normalen PC könne Zugang zum Netz nehmen und sicher und anonym kommunizieren. „Jeder ist ein Spion.“ Für May war es nur eine Frage der Zeit, bis Spionage-Märkte auftauchen. In seinem BlackNet Manifest hat May erklärt, er betrachte „Nationalstaaten, Exportgesetze, Patentgesetze, Auflagen der nationalen Sicherheit und so weiter als Relikte der Zeit vor dem Cyberspace.“ Solche Gesetze würden oft für Ziele des Imperalismus und Kolonialismus ausgenutzt. „BlackNet ist überzeugt, dass es allein der Verantwortlichkeit des Geheimnisbesitzers obliegt, das Geheimnis zu halten – nicht in der Verantwortung des Staates.“

Die New Yorker Anwaltskanzlei und ihre Kunden werden das vermutlich etwas anderes sehen …