Oberösterreich: 19-Jähriger erpresste Firma mit Ransomware

Nach einem Cyberangriff auf eine oberösterreichische Firma ist diese Woche ein 19-Jähriger als Täter ausgeforscht worden. Der junge Mann soll das Unternehmen mit Schadsoftware erpresst und dadurch Schaden in Höhe von 3.000 Euro verursacht haben, berichtete das Bundeskriminalamt (BK) am Donnerstag in einer Aussendung. Die Ermittler vermuten weitere Opfer, der 19-Jährige bestreitet die Taten aber.

Wieder auf freiem Fuß

Das betroffene Unternehmen hatte bereits im Vorjahr Anzeige erstattet. Durch eine sogenannte Ransomware-Attacke wurden mit einer Verschlüsselungssoftware Firmendaten unbrauchbar gemacht. Für die Decodierung wurde anonym Lösegeld (engl.: ransom) gefordert. Die Firma ging jedoch nicht auf die Forderungen ein, da Sicherungskopien der Dateien vorhanden waren.

Die für Ransomware-Fälle zuständige Sonderkommission Clavis des Cybercrime Competence Centers (C4) des BK nahm im September die Ermittlungen auf. Die Experten konnten schließlich die Spuren des Interneterpressers zurückverfolgen. Da der ursprünglich aus Oberösterreich stammende Verdächtige in der Zwischenzeit umgezogen war, wurden in Linz und in der Nähe von Wien Hausdurchsuchungen durchgeführt.

Die Ermittler stellten zahlreiche Computer und Datenträger sicher. Die Auswertung lief am Donnerstag noch. Wie viele weitere Opfer es gibt und wie hoch der Gesamtschaden ist, war daher unklar. Der 19-Jährige wurde auf freiem Fuß angezeigt.

Online gekauft

Bei der Attacke auf die oberösterreichische Firma wurde die sogenannte Philadelphia Ransomware verwendet. Diese wird laut BK in einschlägigen Foren des Darknets zum Kauf angeboten. Es handelt sich um einen Ransomware-Kit, bei dem sich der Käufer die Funktionsweise der Schadsoftware selbst zusammenstellt. Mit der Funktion Russisch Roulette kann eingestellt werden, ob und zu welcher Zeit Dateien des Opfers unwiederbringlich gelöscht werden. Das soll zusätzlichen Druck zur Zahlung des geforderten Betrages erzeugen.

Die Soko Clavis bearbeitet etwa 20 neue Ransomware-Fälle pro Woche. Sie wurde Anfang Juni 2016 wegen des Anstiegs von Erpressungen mit Schadsoftware eingerichtet. Vier Mitarbeiter übernehmen alle österreichweit angezeigten Fälle. Die Verbreitung der Verschlüsselungssoftware erfolgt meist über präparierte E-Mails, aber auch durch Sicherheitslücken in Webbrowsern oder durch unbewusstes Herunterladen aus dem Internet. Immer wieder kommt es auch vor, dass die Ransomware via Mail als Bewerbung getarnt auf reale Stellenanzeigen versendet wird. Dass das Lösegeld meist in Form des anonymen Zahlungsmittels Bitcoin oder durch Prepaid-Karten gefordert wird, erschwert die Ermittlungen.