Die Ransomware ALPHV/Black Cat dürfte derzeit die akuteste Bedrohung aus dem Cyberspace sein. Die russischen Hacker und ihre Vertriebspartner infiltrieren immer mehr Institutionen und Unternehmen; ihre Lösegeldforderungen unterstreichen sie durch eine dreifache Drohung. Der Kreml duldet sie und kooperiert teilweise mit ihnen. Könnte man schon von Hybrider Kriegsführung sprechen?
Der Schweizer Vermögensverwalter Finaport wurde von den Ransomware-Erpressern ALPHV bzw. Black Cat gehackt. Dabei wurden sensible Daten von vermögenden Kunden gestohlen, im Umfang von insgesamt 1,2 Terabyte, und vor kurzem auch online gestellt, vermutlich, nachdem Finaport sich geweigert hatte, die Lösegeldforderungen in Bitcoin zu begleichen. Wie viel die Hacker verlangt haben ist unbekannt.
Das Schweizer Magazin Watson.ch berichtet über den Fall. Finaport selbst hält sich weitgehend bedeckt, betont aber, dass zentrale Kundendatenbanken nicht betroffen seien, aber dennoch Personendaten über Kunden und Mitarbeiter in erheblichem Umfang gestohlen wurden. Darunter sind auch Daten von Finanzinstituten aus aller Welt.
Um den Forderungen Nachdruck zu verleihen, veröffentlicht ALPHV die Daten nicht nur einfach im Darknet, sondern in einem Online-Archiv mit einer Suchfunktion. Vermutlich hoffen sie, so den maximalen Schaden anzurichten.
Von der Ransomware-Gang ALPHV heißt es, sie operiere in Russland und arbeite nur mit russischen “Partnern” zusammen, die als “Vertriebler” dafür sorgen, dass die Malware die Computer und Netzwerke der Opfer erreicht. Sicherheitsanalysten nennen ALPHV eine der gefährlichsten Ransomware-Inkarnationen seit langem. Die Entwickler sind vermutlich Veteranen der Szene, die seit gut 10 Jahren mit Ransomware arbeiten, etwa mit REvil. Zusammen mit Black Cat und Noberus bildet ALPHV die Coreid-Familie, die vielfach miteinander verflochten ist.
Zur Handschrift des Nexus gehört es, sich auf staatlichen Institutionen und Infrastrukturdienstleister zu fokussieren und hohe Lösegelder in Bitcoin oder Monero zu verlangen. Sie setzen dabei auf eine “dreifache Erpressung”: durch die Verschlüsselung der Daten, wie die klassische Ransomware, durch die Veröffentlichung sensibler Daten, sowie durch DoS-Angriffe, die die IT-Systeme fortlaufend lahmlegen.
Laut FBI wurden zwischen November 2021 und März 2022 mindestens 60 Organisationen weltweit von der Ransomware befallen. Das Gesundheitsministerium der US warnt im Januar 2023, dass BlackCat das US-Gesundheitssystem aggressiv angreife und dessen Betrieb bedrohe. In diesem Monat hatte BlackCat etwa den US-IT-Gesundheitsdienstleister NextGen infiltriert, vermutlich jedoch ohne dass sensible Daten gestohlen wurden.
Auch wenn der Schwerpunkt von Black Cat auf den USA liegt, wie das US-Gesundheitsministerium sagt, feiern die Hacker beachtliche “Erfolge” rund um den Globus:
- Im Januar 2022 fiel das Hamburger Tanklogistikunternehmen Oiltanking der Ransomware zum Opfer. Es konnte keine Tankwagen mehr beladen, weshalb manche Tankstellen, etwa von Shell, auf andere Versorger zugreifen mussten.
- Im Frühling 2022 haben die Hacker Quito, die Hauptstadt von Ecuador, angegriffen, wodurch die Online-Dienstleistungen für die Bürger für mehrere Wochen ausfielen.
- Im Mai 2022 hat ALPHV fast die gesamten IT-Systeme des österreichischen Bundeslandes Kärnten lahmgelegt, von der Regierung über die Bezirksverwaltungen zu Rechnungshof und Verwaltungsgericht, nachdem dieses die geforderten fünf Millionen Dollar in Bitcoin nicht bezahlt hatte. So fiel die gesamte Telefonanlage aus, 3.900 Mitarbeiter und 3.000 Computer waren betroffen.
- Im Dezember 2022 griffen die Hacker das Osnabrücker Logistikunternehmen Meyer & Meyer an und leakten einige Daten.
- Im selben Monat legte die Ransomware die IT-Infrastruktur von Empresas Públicas de Medellín (EPM), dem größten Energie-, Wasser- und Gasversorger Kolumbiens, lahm.
- Anfang Februar 2023 traf es die Munster Technological University in Irland. Auf der Tor-Seite von ALPHV wurden persönliche Daten von Mitarbeitern veröffentlicht.
- Ebenfalls im Februar infizierte die Ransomware Solar Industries, einen indischen Hersteller von Raketentreibstoff. Von diesem habe BlackCat mehr als zwei Terabyte sensibler Daten gestohlen, wobei es sich wohl vor allem um militärtechnologische Daten und Industriegeheimnisse handelt. Diese bieten die Hacker zum Verkauf an.
Man könnte vermutlich noch lange so weitermachen. Die Liste enthält nur einen kleinen Teil der öffentlich bekannten Vorfälle; die Dunkelziffer ist bei Ransomware üblicherweise hoch, da sich viele Unternehmen scheuen, eine Schwachstelle öffentlich zuzugeben. In der Regel beauftragen sie Sicherheitsdienstleister, die selbstverständlich ihr Schweigen wahren. Ein Sicherheitsbericht von Mitte 2022 stellte fest, dass die ALPHV/Black-Cat-Gruppe alle vier Tage Daten neuer Opfer veröffentliche.
Es dürfte nicht weit hergeholt sein, eine Verbindung zum russischen Angriffskrieg und den Finanzsanktionen zu ziehen. Es ist bekannt, dass die russischen Ransomware-Hacker keine Ziele in Russland selbst anvisieren, sondern vom Kreml geduldet werden, solange sie nur das Ausland angreifen. So kooperiert Russland seit langem nicht bei internationalen Ermittlungen gegen die Banden.
Eine offene Frage ist, ob die Ransomware-Hacker nur mit Duldung des Kremls operieren – oder in deren Auftrag. Eine Studie von Angriffen zwischen 2019 und 2022 zeigte, dass die Intensivtät der Angriffe in verschiedenen Ländern in den Monaten vor wichtigen Wahlen anstieg, insbesondere bei Zielen wie Regierungsorganisationen – jedoch nur bei Ransomware russischer Herkunft, nicht bei der aus anderen Ländern. Die Wissenschaftler vermuten, dass die Regierung Kontakt zu den Hackern hält und sie gelegentlich um einen Gefallen bittet. Geleakte Daten der Ransomware-Gang Conti enthüllten zudem dass die Hacker zumindest Kontakte zum nationalen Geheimdienst FSB hatten. Im Zuge des Krieges dürfte sich der Einfluss der Regierung auf die Hacker potenziell erhöht haben.
Die vielen Angriffe auf Institutionen und Infrastrukturdienstleister könnte man als eine Art von hybrider Kriegsführung ansehen. Während der Westen in den Krieg in der Ukraine lediglich mit Waffenlieferungen eingreift, ermuntert Russland seinen Hackerbanden seit Jahren, die westlichen IT-Infrastrukturen zu verwüsten.
Im Februar 2022 berichtet der BBC, dass rund 74 Prozent der globalen Zahlungen an Ransomware-Hacker nach Russland fließen. Damit wird die Ransomware zu einer soliden Quelle für Devisen, die den für den Kreml netten Nebeneffekt hat, dass im Zuge der Wertschöpfung westliche Unternehmen und Institutionen demoliert werden. Die vereinnahmten Beträge dürften freilich in der russischen Volkswirtschaft kaum auffallen – anders als in Nordkorea, wo Hacks mittlerweile zum führenden “Exportgut” geworden sind.
