Hacker hinter der großen Ransomware-Attacke geben erstes Lebenszeichen von sich

Eine große Ransomware-Attacke setzte vergangene Woche Firmencomputer auf der ganzen Welt außer Gefecht. Auch von deutschen Unternehmen forderten die Hacker Lösegelder, um die gesperrten Dateien wieder zu entschlüsseln. Doch nach dem großangelegten Angriff wurde es still um die Hacker. Nun haben sie scheinbar ein erstes Lebenszeichen von sich gegeben: Denn in das Bitcoin-Wallet, das für die Lösegeldzahlungen genutzt wurde, ist Bewegung gekommen. Außerdem hat jemand, der behauptet, mit den Hackern in Kontakt zu stehen, eine weitere Lösegeldforderung veröffentlicht.

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter

Begonnen hatte der globale Hacking-Angriff, der zunächst unter dem Namen "Petya" bekannt wurde am 28. Juni: Über das kompromittierte Software-Update einer ukrainischen Buchhaltungssoftware verbreitete sich eine Schadsoftware in Ländern wie der Ukraine, Großbritannien, Spanien und Frankreich. Die Daten auf den Rechnern betroffener Unternehmen wurden verschlüsselt und auf den Bildschirmen war nur noch die Lösegeldforderung zu lesen. Die verwendete Erpresser-Software ähnelt der älteren Ransomware Petya, ist aber nicht mit ihr identisch – weshalb sie von einigen Sicherheitsforschern inzwischen auch als "NotPetya" bezeichnet wird.

Obwohl die große Reichweite und Effektivität der Ransomware darauf hindeutet, dass sie von erfahrenen Hackern entwickelt wurde, machten die Angreifer es den Opfern nicht gerade leicht, das geforderte Lösegeld zu zahlen. Das bringt einige Sicherheitsforscher zu dem Schluss, dass die Hacker eigentlich ein ganz anderes Ziel verfolgten: Daten auf den Zielcomputern unter dem Vorwand einer Ransomware-Attacke völlig auszulöschen. Scheinbar war es den Hackern egal, ob sie tatsächlich Geld erhalten oder nicht – sie wollten einfach nur Chaos stiften.

Doch in der Nacht von Dienstag zu Mittwoch nahm die Geschichte eine unerwartete Wendung, als die Hacker das erste Lebenszeichen seit der Attacke von sich gaben.

Um 00:10 leerten die Hacker das Bitcoin-Wallet, das sie für die Lösegeldzahlungen genutzt hatten und transferierten umgerechnet 10.000 US-Dollar in ein anderes Wallet. Wenige Minuten zuvor hatten die Hacker außerdem zwei kleine Zahlungen an die Bitcoin-Wallets der Websites Pastebin und DeepPaste getätigt. Beides Plattformen, die gelegentlich von Hackern für Ankündigungen von Aktionen oder Verlautbarungen genutzt werden.

Um 23:23 und 23:20 veröffentlichte jemand, der behauptet, hinter NotPetya zu stecken, eine Ankündigung auf DeepPaste und Pastebin: Das war ungefähr 11 beziehungsweise 12 Minuten bevor die Hacker Geld aus ihrem Bitcoin-Wallet an die beiden Seiten überwiesen.

In der Nachricht werden 100 Bitcoin gefordert, was zum Zeitpunkt der Veröffentlichung des Artikels rund 220.000 Euro entspricht. Dafür solle der private Schlüssel zur Verfügung gestellt werden, der angeblich alle Dateien entschlüsseln kann, die von der NotPetya-Ransomware gesperrt wurden. Auffällig ist, dass die Ankündigung keine Bitcoin-Adresse für die Zahlung der Lösegeldsumme enthält. Stattdessen gibt es einen Link zu einem Darknet-Chatroom, über den man die Hacker kontaktieren kann.

In diesem Darknet-Chatroom erklärt uns jemand, der sich als einer der Hacker ausgibt, dass der Preis so hoch angesetzt sei, weil man mit dem Schlüssel "alle Computer" entschlüsseln könne.

"Seid ihr an meinem Angebot interessiert?", fragt er und bietet uns als Beweis an, eine Datei umsonst zu entschlüsseln.

Ob es sich bei den Verfassern der Ankündigung oder bei den Leuten im Chatroom tatsächlich um die Hacker hinter NotPetya handelt, lässt sich bisher nicht verifizieren. Mit Hilfe eines Sicherheitsforschers übermittelten wir dem angeblichen Hacker eine verschlüsselte Datei sowie die dazugehörige readme.txt-Datei der NotPetya-Ransomware. Eine entschlüsselte Datei erhielten wir jedoch nicht wie versprochen umgehend von den angeblichen Hacker zurück.

Ebenfalls auf Motherboard: Totalüberwachung für 150 Euro

Der Sicherheitsforscher Matt Suiche, der NotPetya untersucht hat, betrachtet die erneute Lösegeldforderung der angeblichen Hacker mit Skepsis. Er ist der Meinung, dass die Verfasser des Aufrufs lediglich "Journalisten trollen" wollen.

Seiner Meinung nach verfolgen die Hacker eine klare Strategie: "Das ist ein eindeutiger Versuch der Hacker, das Publikum weiter zu verunsichern, indem sie die Theorie, dass es eigentlich um das Löschen von Daten geht, durch eine erneute Lösegeldforderung kontern."

Zum jetzigen Zeitpunkt ist nicht sicher, ob die Hacker hinter NotPetya dieselben Leute sind, die letzte Nacht auf Pastebin und DeepPaste 100 Bitcoin gefordert haben. Fest steht jedoch, dass zum ersten Mal seit der Ransomware-Attacke Geld aus dem NotPetya-Wallet bewegt wurde und die Hacker den Forschern und den Behörden somit weiterhin Rätsel aufgeben.

Titelbild: Clint Catalyst | Flickr | Lizenz: CC BY 2.0