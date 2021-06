Die Staatschefs der G7-Gruppe haben Russland und andere Staaten, von deren Territorien aus Ransomware-Gangs operieren und Unternehmen und staatliche Institutionen erpressen, aufgefordert, die Operationen dieser Cyberkriminellen zu verfolgen und zu unterbinden. Dies geht aus der Resolution der G7-Staaten hervor, die zum Ende des Treffens der sieben Staatschefs im britischen Cornwall verabschiedet wurde.

"Wir rufen alle Staaten dazu auf, umgehend die kriminellen Ransomware-Netzwerke, die innerhalb ihrer Grenzen operieren, zu identifizieren und auszuschalten und diese Netzwerke für ihre Handlungen zur Rechenschaft zu ziehen", heißt es unter Punkt 34 der Resolution der G7-Staaten. Die Aufforderung zielt offenbar hauptsächlich auf Russland ab. Die zuletzt größeren Ransomware-Angriffe auf Colonial Pipeline und die Attacke auf den Fleischkonzern JBS, die mit Lösegeldzahlungen in Millionenhöhe einhergingen, sollen von russischem Staatsgebiet aus durchgeführt worden sein. Im Fall von Colonial Pipeline wohl von der Ransomware-as-a-Service-Gruppe DarkSide. Das US-Justizministerium hat aufgrund der schweren Auswirkungen der kriminellen Cyberattacken deshalb gefordert, Ransomware-Angriffe mit Terrorismus gleichzustellen.

Unter Punkt 51 der Resolution bekräftigten die G7-Staaten ihr Interesse, "stabile und vorhersehbare Beziehungen zu Russland" pflegen zu wollen. Allerdings müsste Russland dazu "sein destabilisierendes Verhalten und seine bösartigen Aktivitäten" einstellen. Explizit fordern die G7 Russland dazu auf, diejenigen innerhalb der Landesgrenzen "zu identifizieren, zu stören und zur Rechenschaft zu ziehen, die Ransomware-Angriffe durchführen", aber auch Kryptowährung dazu nutzen, um Lösegelder zu waschen und für andere Cyberkriminalität zu missbrauchen. In den Fällen der Erpressung von Lösegeld bei Colonial Pipeline und JBS hatten die Unternehmen Lösegeld in Bitcoin gezahlt. Im Fall von Colonial Pipeline war es dem FBI gelungen, zumindest einen Teil des Erpressungsgeldes in Höhe von 2,3 Millionen US-Dollar von insgesamt 4,4 Millionen Dollar aufzuspüren.

Geduldete Ransomware-Banden

Die international operierenden Ransomware-Banden werden zunehmend zu einem Problem und einer Bedrohung mitunter auch der kritischen Infrastruktur von den angegriffenen Staaten. Offensichtlich wollen die G7 nun gemeinsam dagegen vorgehen, um die kriminellen Machenschaften einzudämmen. In Ländern der Gemeinschaft unabhängiger Staaten (GUS), zu denen Armenien, Aserbaidschan, Belarus, Georgien, Kasachstan, Kirgisistan, Moldau, Russland, Tadschikistan, Turkmenistan, Ukraine und Usbekistan gehören, findet eine Strafverfolgung von Cyberkriminalität kaum statt; Ransomware-Banden werden mehr oder minder geduldet.

Voraussetzung dafür ist allerdings, dass sie keine Angriffe auf Unternehmen und Einrichtungen der GUS starten. Das wissen auch die Cyberkriminellen selbst und sorgen dafür, dass ihre Ransomware in diesen Staaten nicht aktiv wird. Das belegen etwa Ransomware- und Botnet-Samples, die mit technischen Maßnahmen verhindern, dass die Schadsoftware in diesen Staaten loslegt und Unheil anrichtet. Nutzer von Ransomware-as a-Service müssen sich oft in einem Verhaltenskodex einverstanden erklären, nicht in der GUS tätig zu werden. Die Cyberkriminellen bekennen offen, dass dies zu ihrem eigenen Schutz geschieht.

Lesen Sie auch Warum die derzeitige Ransomware-Krise in den USA hausgemacht ist

Der Security-Blogger Brian Krebs berichtet sogar, dass in der Security-Szene diskutiert wird, ob man das nicht zum Schutz vor Ransomware benutzen könnte. Viele Ransomware-Programme enthalten eine Art virtuelle Reißleine, die dafür sorgt, dass die Schadsoftware nicht auf Windows-Systemen aktiv wird, auf denen virtuelle Tastaturen in Russisch und Ukrainisch installiert sind. So könnte es genügen, eine solche virtuelle Tastatur einzurichten, um diese Gefahr zu bannen. Dieser vermeintliche Schutz ist jedoch umstritten, da es durchaus Ausnahmen gibt und er sich letztlich auch wieder einfach umgehen ließe.

(olb)