Ziggy-Ransomware entschädigt Opfer

Ist es ein Zeichen eines Gesinnungswandels – oder bloß die Furcht vor der Polizei? Die Betreiber der Ziggy-Ransomware bezahlen die eingenommenen Coins an die Opfer zurück. Schon vorher haben sie die Schlüssel zur Entschlüsselung kostenlos veröffentlicht. Andere in der Branche drehen dagegen erst richtig auf und verlangen immer größere Summen.

“Kein Verbrechen”, schrieb schon der römische Stoiker Seneca, “bleibt ungestraft, denn die Strafe liegt im Verbrechen selbst.” Seneca spielte damit sowohl auf die Furcht an, irgendwann doch noch aufzufliegen, wie auch auf das schlechte Gewissen, das an den Straftätern nagt. Über dasselbe Thema sollte Fjodor Dostojevskij mehr als eineinhalb Jahrtausende später seinen berühmtesten Roman schreiben – Schuld und Sühne bzw. Verbrechen und Strafen.

Bei der Ransomware-Gang Ziggy war es vermutlich die Furcht vor Entdeckung. Nachdem es der Polizei gelungen war, Ende Januar erst die Hintermänner der Ransomware Emotet hochzunehmen, dann die von NetWalker, bekamen es die Hacker von Ziggy wohl mit der Furcht zu tun. Um die Strafverfolgung präventiv zu besänftigen – oder um präventiv für Strafmilderung zu plädieren – veröffentlichten sie zunächst eine SQL-Datei mit 922 Schlüssel, durch die Betroffene ihre Dateien wieder entsperren können.

Nun bietet Ziggy darüber hinaus den Opfern an, die erpressten Bitcoins zurückzuzahlen. Dafür müssen diese lediglich eine Email an “ziggyransomware@secmail.pro” schicken, die die Computer ID und einen Zahlungsbeweis enthält. Die Erstattung wird zudem in Bitcoin stattfinden mit dem Wert am Tag der Zahlung. Damit wickeln die Ransomware-Hacker die Rückzahlung kundenfreundlicher ab als Tesla. Manch einer, der vor einigen Monaten, vielleicht auch vor einem Jahr bezahlt hat, dürfte nun die Chance haben, in Euro eine erhebliche Summe zu erhalten.

Einer der Hacker erzählte BleepingComputer, dass die Gang in einem Drittweltland lebe und die Mitglieder ihre Häuser verkauft hätten, um die Zahlungen zu erstatten.

Die Meldung zeigt vor allem, dass Ransomware-Hacker nicht so unangreifbar sind, wie lange gemeint. Nachdem internationale Kooperationen erst die Betreiber von Emotet, dann von NetWalker aufgespürt hatten, dürfte sich bei vielen Ransomware-Vertriebler das Muffesausen breit machen, da die eigentlich als gegeben betrachtete Anonymität hinter Tor und Bitcoin brüchiger ist als erwartet. Wie die Ermittler die Hacker aufgespürt haben, bleibt aber in beiden Fällen unbekannt.

Allerdings haben die meisten anderen Hacker stärkerer Nerven als die Betreiber von Ziggy. So sahen auch die letzten Wochen wieder eine Reihe von spektakulären Ransomware-Fällen, bei denen Unternehmen oder öffentliche Einrichtungen angegriffen und exorbitante Lösegelder für die Daten gefordert werden.

So traf es etwa das System der Broward County Public Schools, eines der größten Schulbezirke im US-Bundesstaat Florida. Die Hackergang Conti hat sich das System offenbar nicht zufällig ausgesucht, da sie während der Verhandlungen erwähnten, dass der Schulbezirk mit mehr als 270.000 Schülern ein jährliches Budget von vier Milliarden Dollar hat. Die Forderung eines Lösegeldes von 40 Millionen Dollar, an denen die Hacker lange festhalten, scheint der Institution aber zu hoch zu sein; ihr Angebot, 500.000 Dollar zu zahlen, erfuhr jedoch eine Abfuhr durch die Hacker, welche sich bis auf 10 Millionen Dollar herunterhandeln ließen.

Einige Monate zuvor hatte es die kanadische Stadt Saint John erwischt. Die Ransomware-Adressaten verlangten stolze 17 Millionen Dollar an Lösegeld, damals 670 Bitcoins, wie die Stadt vor kurzem mitteilte. Sie hat sich entschieden, nicht auf die Forderung einzugehen und stattdessen die Systeme neu aufzusetzen. Dies verursachte Kosten von drei Millionen Dollar, die jedoch zum Großteil von der Versicherung übernommen werden.

Unter Beschuss stehen derzeit offenbar auch Einelhändler bzw. Handelsketten. So wurden 40 Gigabyte an Daten der Mailänder Modemarke Boggi Milano durch die Ragnarok-Ransomware verschlüsselt und gestohlen. Wieviel Geld die Hacker aber fordern, ist bislang unbekannt. Vor kurzem kam an die Öffentlichkeit, dass der britische Modehändler FatFace im Januar von der Conti-Gang erwischt wurde und gut zwei Millionen Dollar in Bitcoin bezahlt hat, um die Daten wieder zu erhalten. Als Bonus boten die Hacker dem Modehändler an, ihnen zu helfen, ihre Systeme sicherer zu machen.

Die Blüte der Ransomware fällt also auch durch die beiden erfolgreichen Zugriffe Ende Januar nicht zusammen. Aber sie geben Hoffnung, dass man dem leidigen Phänomen der erpresserischen Software endlich Herr werden kann. Denn der Schaden, den diese anrichten, ist gewaltig. Er beschränkt sich nicht nur auf die Zahlungen, sondern auch auf die Betriebsausfälle, die Kosten, ein System neu aufzusetzen, sowie die Kosten, welche der Sicherheitsaufwand dem laufenden Betrieb aufbürdet.