Sie sind nicht unbesiegbar: Weitere Ransomware-Hacker verhaftet, Bitcoins beschlagnahmt

Für eine lange Zeit galten sie als kaum zu schnappen: Hacker, die durch Ransomware Geld von ihren Opfern erpressen. Die Ermittlungserfolge der Polizei gegen REvil zeigen nun, dass der Kampf gegen Ransomware nicht so aussichtlos ist, wie er scheint.

Eigentlich sind “Affiliates” in der Netz-Ökonomie ziemlich eindeutig definiert. Man versteht unter “Affiliates”, manchmal auch “Partner” genannt, Publizisten, die über “Affiliate-Links” ihre Leser oder Seitenbesucher auf die Webseiten der Werbetreibenden lenken und dann eine Provision erhalten, wenn die Leser zu Kunden werden.

Affiliates sind freie Werbepartner, die nicht durch die Ausstrahlung von Werbung allein Geld verdienen, sondern einzig durch Provisionen. Die Lukrativität der Affiliate-Programme schwankt stark. Manche sind, gerade für große Webeiten, exzellente Gelegenheiten, sich seine Arbeit vergolden zu lassen; andere dagegen werfen bestenfalls einige Kaffeegroschen ab.

Zu den lukrativsten Affiliate-Programmen, die man derzeit findet, dürften die von Ransomware-Betreibern wie REvil gehören. Seit einigen Jahren machen sich die Autoren von Ransomware nicht mehr die Mühe, die Malware selbst auf andere Systeme zu bringen, sondern verlassen sich dabei auf Affiliates.

Diese Affiliates erhalten die Software von den Hackern. Sie infiltrieren die Systeme von Opfern – teils selbst durch ausgefeilte Hacking-Technologien, teils durch schnöde Spam-Mails – und laden die Ransomware hoch. Wenn das Opfer dann bezahlt, erhalten sie einen Anteil der Erlöse, in der Regel 70-80 Prozent. Die Autoren der Ransomware können derweil die Beine hochlegen und zusehen, wie das Geld eintrudelt.

Millionenschwere Wallet von Affiliate konfiziert

Vor kurzem hat das US-amerikanische FBI sich nun diese Affiliates vorgeknöpft. Und zwar sind die Ermittler einem russischen Bürger auf die Spur gekommen, Aleksandr Sikerin, wohnhaft in Sankt Petersburg.

Das FBI wirft Sikerin vor, sich unberechtigt Zugang zu anderen Computern verschafft zu haben, dort die REvil-Ransomware installiert und danach noch Geld gewaschen zu haben. Auf Basis dieser Anklage haben die Beamten eine Exodus Wallet von Sikerin konfisziert, auf der 39,9 Bitcoins oder etwa 2,3 Millionen Dollar lagen.

Sikerin ist, so die Anklageschrift, mit verantwortlich für Ransomware-Angriffe, die zu Lösegeldzahlungen von etwa 200 Millionen Dollar geführt haben. Teilweise können diese Lösegeldzahlungen mit der Wallet von Sikerin in Verbindung gebracht werden, die nun unter Kontrolle des FBI ist.

Wie es dem FBI genau gelang, “eine Exodus Wallet” in Besitz zu nehmen, ist noch unklar. Exodus ist eine Wallet für Desktop-Computer und mobile Geräte. Sie stand oder steht unter Kritik, weil nicht alle Teile des Codes Open Source sind, doch es ist eher unwahrscheinlich, dass die Wallet eine so weitgehende Backdoor enthält, dass die US-Regierung per Knopfdruck Geld konfiszieren kann. Wahrscheinlicher ist ein Zugriff entweder durch Konfiszierung von Geräten oder einem Hack.

Ein internationaler Schlag gegen REvil

Möglicherweise war die Wallet auch Teil einer umfangreicheren Beschlagnahmung vor einem Monat. Anfang November hatte das US-Justizministerium einen Ukrainer und einen Russen angeklagt, hinter einem der schlimmsten Ransomware-Angriff auf Amerikaner zu stecken.

Konkret ging es um den Angriff auf den Software-Provider Kaseya im Juli durch die REvil-Ransomware. Weil dessen Software in zahlreichen Systemen steckt, ging der Angriff um die ganze Welt. Tausende von Unternehmen waren betroffen, darunter beispielsweise sämtliche Koops in Schweden.

Dem Ukrainer Jaroslaw Vasinskij wurde im Oktober des Jahres in Polen verhaftet. Ihm und seinem russischen Kollegen Jewgenij Polynin wird vorgeworfen, in die Computer der Opfer eingebrochen zu sein und dort die REvil-Ransomware installiert zu haben. Anders als Vasinskij ist Polynin noch auf freiem Fuß.

Im Zuge dieser Ermittlungen haben US-Behörden Bitcoins und Monero im Wert von mehr als sechs Millionen Dollar konfisziert, welche auf Lösegeldzahlungen zurückgehen. Beteiligt waren dabei neben dem FBI auch Europol und andere Polizeibehörden.

Laut Europol wurden Anfang November in Rumänien zwei weitere Angeklagte verhaftet, weil sie REvil-Ransomware vertrieben haben, und Beamte in Südkorea bestätigten, drei Verdächtige festgenommen zu haben. Insgesamt verfolgten die Ermittler 12 Verdächtigte, denen zur Last gelegt wird, für Ransomware-Angriffe in 71 Ländern verantwortlich zu sein.

Doch kein perfektes Verbrechen

Lange galt Ransomware als “perfektes Verbrechen”, weil es so gut wie unmöglich schien, die Täter aufzuspüren. Nun scheint sich das Blatt langsam zu wenden. Zumindest sprechen die Ermittlungserfolge gegen REvil dafür.

Ein Grund hierfür dürfte sein, dass die Ransomware-Hacker den Bogen überspannt haben. Schon der Hack einer Promi-Anwaltskanzlei war Anlass genug für die US-Regierung, von “Cyberterrorismus” zu sprechen; die fortlaufenden Angriffe auf Stadtverwaltungen, Krankenhäuser und Universitäten dürften die Geduld der Behörden erschöpft haben; der Hack der Colonial Pipeline sowie von Kasey waren die Tropfen, die das Fass zum Überlaufen haben.

Bitcoin und das Darknet zwingt die Strafverfolger weltweit dazu, übernational zusammenzuarbeiten. Wir kennen das bereits aus teils spektakulären Erfolgen gegen Darknet-Marktplätze. Nun nutzt die Polizei die in diesem Zuge aufgebauten Ressourcen und Kompetenzen konsequenz im Kampf gegen Ransomware.

Daneben scheint auch eine Strategieänderung vielversprechend zu sein. Kimberly Goody, die Direktorin der Sicherheitsfirma Mandiant, erklärte, es könnte vielversprechender sein, gegen Affiliates vorzugehen als gegen den Kern der Ransomware-Gang. Denn nicht nur sind die Affiliates näher am Tatort – sie, nicht die Ransomware-Autoren hacken die Computer – sondern sie sind oft auch weniger vorsichtig und “ihre Fähigkeiten sind stärker gefragt als Verschlüsselungssoftware”. Einige Affiliates arbeiten auch für mehrere Gangs. Es könnte also sein, dass weniger die Software-Entwickler sondern die Affiliates die Flaschenhälse der Ransomware-Ökonomie sind.

Tatsächlich scheint es schwer zu sein, an die Urheber der Software selbst zu kommen. Die Macher von REvil haben sich schon im Sommer zurückgezogen, nachdem die Colonial Pipeline gehackt worden war. Vermutlich haben sie erkannt, dass damit eine Grenze überschritten worden ist.