Am 20. Juli 2022 gab das US-Justizministerium bekannt, dass es erfolgreich 500.000 US-Dollar in Form von Bitcoin von verdächtigen nordkoreanischen Hackern beschlagnahmt hat. Diese Hacker hatten zuvor gezielte Angriffe auf Gesundheitsdienstleister durchgeführt und mit einer neuen Ransomware-Variante, bekannt als Maui, Geld von verschiedenen Organisationen erpresst. Der Fall verdeutlicht die wachsende Bedrohung durch nordkoreanische Cyberkriminalität, die zunehmend auf ransomwarebasierte Angriffe spezialisiert ist.
Die Beweise deuten darauf hin, dass die nordkoreanischen Hacker bereits 2021 mit einer Welle von Angriffen auf amerikanische Krankenhäuser und medizinische Einrichtungen begonnen hatten. In einem bemerkenswerten Fall wurde ein Krankenhaus in Kansas im Mai 2021 durch die Maui-Ransomware angegriffen. Die Ransomware verschlüsselte Dateien und Server des Gesundheitszentrums, was dazu führte, dass die IT-Systeme des Krankenhauses eine Woche lang nicht zugänglich waren. In ihrer Not entschied sich die Einrichtung dazu, etwa 100.000 US-Dollar in Bitcoin zu zahlen, um den Zugang zu ihren Systemen wiederherzustellen.
Der Prozess, dem die Hacker folgten, ist typisch für die Vorgehensweise bei Ransomware-Angriffen. Dabei wird schädliche Software eingesetzt, um Daten zu verschlüsseln oder Benutzer von ihren Systemen auszuschließen, bis ein Lösegeld gezahlt wird. Obwohl das Zahlen von Lösegeld nicht illegal ist, wird es von den meisten Strafverfolgungsbehörden weltweit abgeraten. In diesem Fall konnte das FBI jedoch direkt nach der Zahlung des Lösegelds in Kenntnis gesetzt werden, was es der Behörde ermöglichte, die zuvor unbekannte Ransomware zu identifizieren und die Bewegung der Kryptowährung bis hin zu Geldwäschern in China zurückzuverfolgen. Deputy Attorney General Lisa O.
Monaco lobte in einer Konferenz die schnelle Reaktion des Krankenhauses und betonte die Bedeutung der sofortigen Meldung solcher Vorfälle an die Behörden. Da die Hacker-Ransomware auch auf andere Einrichtungen abzielte – ein weiteres medizinisches Unternehmen in Colorado zahlte zusätzlich etwa 120.000 US-Dollar in Bitcoin –, konnte das FBI im Zuge seiner Ermittlungen auch diese Zahlung nachvollziehen. Die Beschlagnahme der 500.000 US-Dollar in Bitcoin war ein seltener Erfolg in der Bekämpfung von Cyberkriminalität und zeigt die neuen Strategien, die US-Behörden wie das FBI entwickeln, um erpresste Gelder aus den Händen von internationalen Cyberkriminellen zu extrahieren.
Oft sind solche Rückführungen von Lösegeldern von der Kooperation mit internationalen Partnern abhängig, was in Fällen wie diesen, bei denen die Täter aus nordkoreanischen oder russischen Jurisdiktionen agieren, problematisch ist. Die Methoden, die zur Beschlagnahme der Gelder führten, sind jedoch nicht abschließend bekannt. Tom Robinson, der Gründer und Chef-Wissenschaftler der Bitcoin-Analysefirma Elliptic, spekulierte darüber, wie die Ermittler vermutlich den Kryptowährungsfluss bis zu einer regulierten Börse zurückverfolgen konnten. Wenn Cyberkriminelle versuchen, ihre Erlöse in traditionelle Währungen umzuwandeln, sind sie gezwungen, dies durch regulierte Plattformen zu tun, die einer rechtlichen Verpflichtung unterliegen, im Fall von Ermittlungen die Gelder ihrer Kunden zu beschlagnahmen. Eine weitere Möglichkeit ist, dass die Kryptowährung direkt von den Geldwäschern selbst beschlagnahmt wurde.
Das wäre jedoch komplizierter gewesen, da dies Zugang zum privaten Schlüssel der digitalen Geldbörsen erfordert, was nicht immer möglich ist. Die zunehmende Nutzung dieser Taktiken seitens der US-Behörden zeigt, dass sie bereit sind, innovativ zu sein und sich dem Wandel im Cybercrime-Umfeld anzupassen. Das FBI hatte bereits zuvor Erfolge bei der Rückgewinnung von Lösegeldzahlungen verzeichnet. So konnte die Behörde im Juni 2021 die meisten der 4,4 Millionen US-Dollar zurückholen, die von Colonial Pipeline an eine kriminelle Gruppe gezahlt wurden, die offenbar in Russland ansässig ist. Ein weiteres Beispiel ist die Rückführung von 6 Millionen US-Dollar von der Ransomware-Gruppe REvil, die ebenfalls enge Verbindungen zu Russland hat.
Die omnipräsente Bedrohung durch nordkoreanische Hackergruppen, insbesondere die so genannte Lazarus-Gruppe, ist in den letzten Jahren immer wieder in den Nachrichten gewesen. Diese Gruppe wird nicht nur mit Cyberespionage in Verbindung gebracht, sondern auch mit Angriffen, die darauf abzielen, Geld für das von Sanktionen isolierte nordkoreanische Regime zu beschaffen. Der Versuch, 2016 über einen Cyberangriff auf eine Bank in Bangladesch 1 Milliarde US-Dollar zu stehlen, gehörte zu den spektakulärsten Fällen. Im letzten Jahr hat die US-Cyberbehörde spezifische Warnungen zu nordkoreanischen Ransomware-Angriffen auf amerikanische Krankenhäuser herausgegeben, auch wenn keine konkreten Beweise für eine direkte Beteiligung Nordkoreas an den Angriffen vorgelegt wurden. Eine gemeinsame Cybersecurity-Warnung stellte fest, dass die Maui-Ransomware seit mindestens Mai 2021 von nordkoreanischen staatlich gesponserten Akteuren zur gezielten Angreifung von Gesundheitseinrichtungen verwendet wird.
Das Szenario wirft wichtige Fragen über die Sicherheit im Gesundheitssektor und die Anfälligkeit kritischer Infrastrukturen für Cyberangriffe auf. Je mehr solche Angriffe bekannt werden, desto wichtiger wird es für Einrichtungen, proaktive Sicherheitsmaßnahmen zu implementieren und eng mit den Behörden zusammenzuarbeiten, um Bedrohungen zu minimieren und im Ernstfall schnell reagieren zu können. Wie Jen Ellis von der Cyber-Sicherheitsfirma Rapid7 betont, hängt der Erfolg solcher Rückholaktionen von der schnellen Meldung von Cyber-Erpressungsvorfällen und der guten Zusammenarbeit mit den Strafverfolgungsbehörden ab. Zusammenfassend lässt sich sagen, dass der jüngste Erfolg des US-Justizministeriums bei der Beschlagnahme gestohlener Kryptowährungsfonds von nordkoreanischen Hackern ein wichtiges Signal im Kampf gegen die wachsende Bedrohung durch Cyberkriminalität ist. Er zeigt, dass internationale Zusammenarbeit und schnelle Reaktionen entscheidend sind, um die Täter zur Rechenschaft zu ziehen und die gestohlenen Gelder zurückzuholen.
Der zunehmende Fokus auf diese Art von Cyberkriminalität wird sowohl die Methoden der Verbrecher als auch die Reaktionen der Behörden im Fortgang der digitalen Kriminalität beeinflussen.
