Das US-Justizministerium beschuldigt zwei iranische Männer, Drahtzieher hinter dem Erpressungstrojaner SamSam zu sein und damit sechs Millionen US-Dollar erbeutet zu haben. Das geht aus einer Klage hervor, die nun veröffentlicht wurde. Gleichzeitig hat das US-Finanzministerium zwei weitere Iraner benannt, die beim Wechsel des in Bitcoin erbeuteten Lösegelds in iranische Rial geholfen haben sollen. Ihre dazu genutzten Bitcoin-Adressen hat die Behörde öffentlich gemacht und jedem Sanktionen angedroht, der mit diesen Adressen interagiert. Eine Kooperation iranischer Behörden dürften die US-Ermittler nicht erwarten.

Schäden in Höhe von 30 Millionen US-Dollar

Den beiden 27 und 34 Jahre alten Erpressern aus Schiraz und Ghom werfen die US-Ermittler vor, 34 Monate lang mit ausgeklügelter Malware verschiedene Straftaten begangen zu haben. Dazu sollen sie gezielt Computer der Opfer gehackt und ihren Verschlüsselungstrojaner SamSam installiert haben. Für die Entschlüsselung verlangten sie dann Lösegeld in Bitcoin. Insgesamt hat ihre Angriffsserie demnach 200 Opfer in den USA und Kanada gefunden, darunter vor allem die Stadtregierungen von Atlanta und Newark, der Hafen von San Diego sowie auch mehrere Krankenhäuser. Damit sollen die beiden Schäden von 30 Millionen US-Dollar angerichtet und sechs Millionen US-Dollar erbeutet haben.

Es handle sich um "digitale Erpressung", erklärte Brian Benczkowski, der Chef der zuständigen Abteilung im US-Justizministerium. Den Vorwürfen zufolge zielten die beiden Beschuldigten nicht nur auf Einrichtungen, die besonders stark auf ihre IT-Systeme angewiesen und finanziell zur Lösegeldzahlung in der Lage waren. Die Angriffe seien dann außerdem außerhalb normaler Bürozeiten erfolgt, um die Gegenwehr zu erschweren. Für ihre Anschuldigungen haben die Ermittler unter anderem Chat-Konversationen der beiden ausgewertet.

Sanktionen gegen Bitcoin-Wechsler

Hilfe erhielten die Erpresser der Anklageschrift zufolge von zwei Personen, die die erbeuteten Bitcoins in die Landeswährung umtauschten. Das US-Finanzministerium hat parallel dazu die Namen der beiden Verdächtigen veröffentlicht und Sanktionen gegen sie verhängt. Zum ersten Mal wurden dabei außerdem ihre Bitcoin-Adressen aufgeführt. Darüber wurden demnach mehr als 7000 Transaktionen getätigt und 6000 Bitcoins getauscht – nicht nur von Opfern des SamSam-Trojaners. Auch wenn den vier Personen an keiner Stelle eine Verbindung zum iranischen Staat unterstellt wird, stellt das Finanzministerium einen Zusammenhang zu den wieder eingeführten US-Sanktionen gegen den Iran her. (mho)