US-Finanzministerium droht mit Strafen fürs Bezahlen von Ransomware
"US-Treasury": Ausschnitt aus einer Dollarnote. Bild von Kurtis Garbutt via flickr.com. Lizenz: Creative Commons
Wer den Schaden hat, der …: US-Unternehmen, die das Pech hatten, sich mit Ransomware zu infizieren, droht nun auch noch Ärger mit dem Finanzminsterium, wenn sie die Forderung der Schadsoftware begleichen.
Das „Amt zur Kontrolle von Auslandsvermögen“ (OFAC) am US-Finanzminsiterium droht US-Unternehmen mit Sanktionen, falls sie den Zahlungsaufforderungen von Ransomware Folge leisten.
Ransomware befällt die PC-Systeme von Einzelpersonen und Individuen, meist durch einen Anhang in einer E-Mail, nutzt dann oft Lücken in der Systemsicherheit, um das gesamte Netzwerk zu infizieren, und verschlüsselt schließlich die Dateien auf den Festplatten. Für den für die Widerherstellung notwendigen Schlüssel verlangen die Absender der Ransomware ein Lösegeld, das in der Regel in Bitcoin oder Monero zu begleichen ist.
Im Zuge der COVID-19-Pandemie sei, so das Finanzministerium, die Anzahl der mit Ransomware infizierten Systeme angestiegen, da „die Cyber-Akteure Online-Systeme angreifen, welche US-Bürger benötigen, um ihre Geschäfte weiter zu führen.“ In der Regel ist es nicht möglich, die von Ransomware verschlüsselten Daten ohne den Schlüssel wieder herzustellen, und in vielen Fällen schlägt der Ausfall der Systeme jeden Tag mit Kosten und unter Umständen mit Gefahren für die Allgemeinheit zu Buch. Daher ist es für Unternehmen und auch Bürger, die um Daten mit sentimentalem Wert fürchten, die rationale Entscheidung, das Lösegeld zu bezahlen, anstatt „hart zu bleiben.“ Oft übernehmen dabei Dienstleister für Cybersicherheit die Zahlungen im Auftrag der Kunden.
Man könnte von einem Gefangenendilemma sprechen: Für den Einzelnen ist es rational, das Lösegeld zu bezahlen, doch für die Allgemeinheit wäre es perfekt, wenn niemand bezahlen würde, da dies den Hackern die Anreize nehmen würde. Daher warnt das US-Finanzministerium nun „Unternjehmen, die die Ransomware-Zahlungen an Cyber-Akteure für deren Opfer ausführen, darunter Finanzinstitutionen, Cyber-Versicherungen und Unternehmen, die mit digitaler Forensik und Antworten auf Vorfälle zu tun haben“: Sie würden damit nicht nur die Hacker motivieren, noch mehr Systeme anzugreifen, sondern „möglicherweise auch gegen die OFAC-Regulierung verstoßen.“
Das OFAC recherchiert für das Finanzministerium mögliche Ziele für Sanktionen und setzt diese um, etwa indem es das Vermögen der „illegalen Akteure“ einfriert oder diese vom US-Finanzsystem abschneidet. Mittlerweile hat das Amt „zahlreiche bösartige Cyber-Akteure unter sein Sanktionsprogramm im Cyber-Umfeld aufgenommen“, worunter auch Ransomware-Hacker sind.
So hat beispielsweise der Cryptolocker mehr als 234.000 Computer in den USA befallen; sein Entwickler, Evgenij Mikhailowich Bogachew, steht seit Dezember 2016 auf der schwarzen Liste der OFAC. Ebenso die SamSam-Ransomware, die vor allem Behörden und Unternehmen der USA angegriffen hat, sowie die dahinter stehenden Hacker aus dem Iran; wie auch der von der nordkoreanischen Lazarus-Gruppe entwickelte WannaCry 2.0 Virus, der weltweit rund 300.000 Computer infiziert hat, sowie die russische Evil Corp Organisation, die mit Malware vor allem Banken angreift.
Die OFAC „hat Sanktionen verhängt und wird sie weiterhin verhängen gegen diese Akteure und diejenigen, die ihnen bei diesen Aktivitäten materiell helfen, sponsorn oder sie in finanzieller, materieller oder technischer Weise unterstützen.“ Diejenigen, die Ransomware-Zahlungen ausführen, „unterstützen Kriminelle und Feider unter Sanktion dabei, Profite zu machen und ihre illegalen Aktivitäten fortzusetzen.“ Mehrere Gesetze verbieten es US-Bürgern, direkt oder indirekt mit Individuen oder Entitäten auf den OFAC-Listen finanziell zu interagieren. Die OFAC hat das Recht, Personen, die gegen diese Gesetze verstoßen, mit zivilrechtlichen Strafen zu verfolgen, „sogar dann wenn diejenigen nicht gewusst haben, dass sie mit einer sanktionierten Person interagieren.“
Für das große Ganze dürfte es natürlich sinnvoll sein, Ransomware nicht zu bezahlen. Für Einzelfälle könnte es aber verheerend, wenn nicht gar existenzgefährdend sein: Mit jedem Tag, den ein Online-Unternehmen offline ist, verliert es Geld; Anwaltskanzleien oder Behörden verlieren Daten von unschätzbarem Wert; Privatpersonen Bilder, an denen ihr Herz hängt, und wenn ein Krankenhaus sämtliche Daten verliert, anstatt sie für ein Lösegeld wiederherzustellen, droht dies sogar Leben zu kosten. Ransomware nicht zu zahlen, ist mit Sicherheit „das Richtige“ – aber der Preis, dafür, das richtige zu tun, den das US-Finanzministerium von den Bürgern und Unternehmen verlangt, könnte hoch sein.
Was ist noch übrig vom „Land of the free“? Die Lösegeldzahlungen an Piraten in Somalia / Horn von Afrika sind in Ordnung, weil es da um mit Petrodollarn bezahlten Sprit geht und die Lösegelder werden auch in der Regel in US-Dollar beglichen. Die Ransomware Entwickler sollten wohl mit der US-Regierung verhandeln, welchen tatsächlich durch US-Dollar gedeckten Stablecoin sie statt Bitcoin oder Monero nutzen sollen, dann passt das, denn es dient der Dollar-Dominanz.
Im Ernst, niemand bezahlt das freiwillig und wenn wie von Dir beschrieben die Existenz oder gar Leben auf dem Spiel stehen, sind jegliche Vorwürfe, gegen Sanktionen zu verstoßen, absurd. Zumindest kann man es bei Monero nicht nachweisen, an welche Adresse und ob diese überhaupt verschickt wurden und die dafür genutzten Coins vermutlich sogar absetzen und behaupten, die Keys seien einem Verschlüsselungstrojaner zum Opfer gefallen, was noch nicht einmal gelogen wäre 😀