Cyberangriff auf Kärnten: Wer steckt hinter BlackCat?
Dieser Artikel ist älter als ein Jahr!
Am 24. Mai wurde das Land Kärnten Opfer eines Ransomware-Angriffs. Seither kommt das Land Kärnten nicht ganz zur Ruhe: Zuerst tauchen erste Daten inklusive Reisepässen und Bankomatdaten im Darknet auf, dann bleibt die Website des Landes im Visier der Angreifer*innen und wird mit sogenannten „Überlastungsangriffen“ bombadiert. Die Opfer, deren Daten gestohlen wurden, sind bis dato ebenfalls noch nicht alle informiert worden. Die Aufklärung, welche Daten eigentlich gestohlen wurden, gestaltete sich als schwierig.
Was über die Hacker*innen bekannt ist
Doch was ist eigentlich über diejenigen bekannt, die hinter dem Angriff stecken? Fest steht, dass die Hacker*innengruppe BlackCat, die sich selbst als ALPHV bezeichnet, die Software für die Angreifer*innen bereit gestellt hat und sich auch für die Lösegeldforderungen verantwortlich zeigt. Bei BlackCat handelt es sich selbst um Anbieter*innen, die aus Ransomware-Angriffen ein Geschäftsmodell gemacht haben, das sie „As A Service“ anbieten. Dieser Service inkludiert die zur Verfügung Stellung von Hacker*innen-Tools sowie die Übernahme der Kommunikation bezüglich Lösegeldforderungen.
Diesen Service können von BlackCat allerdings, laut Eigenangaben, nicht alle kaufen, sondern nur „russisch sprechende Partner*innen“. Ein Vertreter der Hacker*innen-Gruppe hat in diesem Jahr nämlich ein Interview gegeben, das sich liest, als würde die Person gerade einfach nur ihr laufendes Start-up bewerben. Securityexpert*innen halten dieses Interview für echt. Daraus geht neben der Tatsache, dass die Partner*innen, die die Dienstleistungen von BlackCat in Anspruch nehmen, russisch sprechen müssen, auch hervor, dass an und für sich *keine politischen Ziele* adressiert werden sollten. BlackCat bezeichnet sich selbst als „apolitisch“.
Apolitisch, aber warum Kärnten?
Warum wurden und werden dann das Land Kärnten angegriffen und speziell Daten aus dem Büro des Landeshauptmanns Peter Kaiser (SPÖ) gestohlen? Im Interview erzählt die Hacker*in, dass es immer mal wieder vorkomme, dass Auftragnehmer*innen sich nicht an die Regeln halten würden. Sollten dann etwa Nachbarstaaten angegriffen werden (Russland, China, Belarus, etc.), würde BlackCat diesen im Falle eines Angriffs umgehend eine kostenfreie Entschlüsselung der Daten anbieten und durchführen, heißt es.
Obwohl die Hacker*innen hinter BlackCat bzw. ALPHV russischen Ursprungs sein dürften, heißt das nicht, dass sie automatisch mit dem russischen Staat zusammenarbeiten, oder dass die Auftragnehmer*innen auch zwingend aus Russland stammen müssen. Die Cybersecurity-Expert*innen von Sec Research, die im Zuge der Ukraine-Krise zahlreiche Angriffe aus Russland analysiert haben, gehen davon aus, dass es der Gruppe vor allem um die Erpressung als Geschäftsmodell und die Gewinnung von Profiten gehe und sie keine politischen Ziele verfolgen würden, wie es in einem Blogposting heißt.
Überlastungsangriffe noch am Laufen
„Im Falle von BlackCat in Russland können wir aufgrund Unmengen von Daten sagen: Es ist sehr unwahrscheinlich, dass es sich um politische oder staatliche Hacker handelt. Viel mehr ist der korrupte Boden Russlands ein perfekter Ort für digitale Verbrechen. Black Cat ist ein weiterer opportunistischer Player in einem Haifischbecken voller Krimineller“, so Sec Research.
Wenn das Land Kärnten wie angekündigt und mehrfach betont kein Lösegeld an die Erpresser*innengruppe zahlen wird, dann wird diese mit großer Wahrscheinlichkeit versuchen, die Daten auf anderem Wege zu Geld zu machen. Das Land Kärnten ist daher gut darin beraten, die Opfer der gestohlenen Daten nicht nur über den Diebstahl zu informieren, sondern sie auch aufzuklären, sich neue Bankomatkarten oder Reisepässe ausstellen zu lassen etc.
Derzeit versuchen es die Hacker*innen noch mit Überlastungsangriffen. Diese dienen offiziell dazu, die Opfer doch noch zum "Umdenken" zu bewegen. Die Website des Landes Kärnten war am Sonntag online und hielt den neuen Überlastungsangriffen offenbar stand.
Kommentare