Das Justizministerium gibt an, Lösegeldzahlungen in Höhe von etwa 500.000 US-Dollar von einer medizinischen Einrichtung in Kansas an eine nordkoreanische Ransomware-Bande namens „Maui“ im vergangenen Jahr beschlagnahmt zu haben. Das Geld umfasste die Zahlungen selbst sowie die Kryptowährung, mit der die Kriminellen das Geld des Krankenhauses waschen.
Die Operation wurde in a offenbart Rede gehalten von der stellvertretenden Generalstaatsanwältin Lisa O. Monaco auf der International Conference on Cyber Security an der Fordham University am Dienstag. Die Rede fiel mit der Veröffentlichung des Comprehensive Cyber Review des DOJ zusammen, einer 81-seitigen Prüfbericht die ihre aktuelle Strategie zur Bekämpfung von Cyber-Bedrohungen umreißt.
„Letztes Jahr erlebte ein medizinisches Zentrum in Kansas die Angst, die zu vielen Betreibern kritischer Infrastrukturen droht. Nordkoreanische staatlich geförderte Cyber-Akteure verschlüsselten die Server des Krankenhauses – Server, die zum Speichern kritischer Daten und zum Betrieb wichtiger Geräte verwendet werden“, sagte Monaco. „Die Angreifer hinterließen eine Lösegeldforderung und drohten, es innerhalb von 48 Stunden zu verdoppeln. In diesem Moment stand die Leitung des Krankenhauses vor einer unmöglichen Wahl – der Lösegeldforderung nachgeben oder die Fähigkeit von Ärzten und Krankenschwestern, die Intensivpflege zu leisten, lähmen.“
Die Einrichtung bezahlte schließlich die Angreifer, benachrichtigte aber auch das FBI, das es den Behörden ermöglichte, eine Untersuchung einzuleiten, die letztendlich zu einer Rückforderung des Geldes führte, sagte Monaco.
„Nach den Krypto-Brotkrümeln identifizierte das FBI in China ansässige Geldwäscher – die Art, die den Nordkoreanern regelmäßig dabei hilft, Lösegeldzahlungen in Fiat-Währung ‚auszuzahlen‘“, sagte Monaco. „Zusätzliche Blockchain-Analysen ergaben, dass dieselben Konten andere Lösegeldzahlungen enthielten. Das FBI hat diese zu einem anderen medizinischen Dienstleister in Colorado und potenziellen Opfern im Ausland zurückverfolgt.“
G/O Media kann eine Provision erhalten
Die Entstehung von Blockchain-Analyse Tools, wie sie in dieser Untersuchung verwendet wurden, waren für die Behörden bei der Bekämpfung der Cyberkriminalität immens hilfreich. Während die vermeintliche Anonymität von Kryptowährungen zu einer boomenden Ransomware-Industrie geführt hat, haben Tools, wie sie von Firmen wie Chainalysis verkauft werden, dazu beigetragen, diese Industrie zu entlarven – was es den Behörden ermöglicht, die öffentliche Blockchain zu scannen und die Aktivitäten ihrer weniger wohlschmeckenden Benutzer zusammenzusetzen.
Die Behörden schlagen im Allgemeinen vor, dass Ransomware-Opfer die Zahlung verweigern, da dies kein sicherer Weg ist, Ihre Daten zurückzubekommen. Von Ransomware-Gangs bereitgestellte Entschlüsselungsschlüssel funktionieren nicht immer Also gut – und sobald ein Krimineller Ihr Geld hat, gibt es für ihn auch keinen großen Anreiz, Ihnen zu helfen.