Erpressungssoftware, auch Ransomware genannt, ist in den vergangenen Jahren zu einem großen Problem geworden. Staatliche Stellen, große Firmen, NGOs und auch Krankenhäuser und Forschungseinrichtungen sind bereits Opfer solcher Angriffe geworden, mit teils auch heftigen, realen Konsequenzen. Erst im Mai erzwang eine solche Attacke die mehrtätige Stilllegung der Colonial Pipeline, die den Südwesten der USA von Texas aus mit Treibstoffen versorgt.

Die Schadsoftware verschlüsselt Dateien, sodass sie für die eigentlichen Nutzer der Systeme nicht mehr nutzbar sind. Wer die Kontrolle – in Form eines Entschlüsselungswerkzeugs – zurück haben möchte, muss in der Regel beträchtliche Beträge in Form von Kryptowährungen an die Hinterleute zahlen.

Exodus

Doch in den letzten Monaten gibt es in der "Szene" einen bemerkenswerten Exodus, schreibt Daily Beast. So legte die seit 2019 immer wieder auffällige Gruppe Ragnarok kürzlich unerwartet ihre Waffen nieder. Am Donnerstag veröffentlichte man ein Tool, mit dem alle Opfer wieder Zugang zu den von der Ransomware verschlüsselten Dateien herstellen können – und verschwand von der Bildfläche.

Sie sind dabei nicht die Einzigen. Auch andere bekannte Namen wie Ziggy, Fonix oder Avaddon haben sich zurückgezogen und gleichzeitig Anleitungen und Werkzeuge für Betroffene ihrer Angriffe veröffentlicht. Darkside, die hinter dem Angriff auf den Pipeline-Betreiber standen, kündigte ebenfalls ihre Auflösung an. Und auch von Revil, die mutmaßlich von Russland aus operierende Gruppe, die Teile der IT des großen Fleischlieferanten JBS mit einem Erpressungsangriff lahmlegte, gab es bis vor kurzem kein Lebenszeichen mehr.

Für diese Entwicklung dürfte es zwei zusammenhängende Gründe geben. Den größten Impact dürfte haben, dass Ransomware und die organisierte Kriminalität dahinter, stark in den Fokus von Politik und Behörden gerückt ist. Nach dem Colonial Pipeline-Vorfall kündigte etwa US-Präsident Joe Biden die unnachgiebige, strafrechtliche Verfolgung der Verantwortlichen an. Im Juni konnten die Behörden immerhin einen Teil des in Bitcoin bezahlten "Lösegelds" sicherstellen.

Ungewöhnlich

Es sei nicht völlig neu, dass sich Ransomware-Banden plötzlich auflösten, sagt dazu Brett Callow vom Sicherheitsanbieter Emsisoft. "Es ist aber auf jeden Fall unüblich, dass so viele es [nun] getan haben und ich vermute, das liegt an der erhöhten Aufmerksamkeit durch die Strafverfolgungsbehörden. Um es einfach zu sagen: Sie haben kalte Füße bekommen." Ein Interview eines Vertreters von Ziggy mit Bleeping Computer bestärkt diese These, denn dieser gibt an, dass man vor den Behörden in Deckung gehe.

Dieser Druck führt aber auch auf anderer Ebene zu Konsequenzen, denn Ransomware-Gruppierungen werden nun offenbar auch innerhalb der Szene unbeliebt. In einem beliebten russischen Forum für Cyberkriminelle wurde laut Sicherheitsforschern kürzlich ein Verbot gegen sie ausgesprochen, weswegen sie sich nun teilweise an Codewörtern bedienen, um die Regeln zu umgehen.

Wohl kein Trend

Nicht immer aber sind die Rücktritte wirklich ernst gemeint. So tauchte kürzlich eine neue Gruppierung auf, die aus ehemaligen Mitgliedern von Darkside und Revil besteht. Es bleibt auch abzuwarten, ob das Phänomen Ransomware als ganzes aufgrund des Rückzugs von Ragnarok und Co an Momentum verlieren wird.

Die Chancen stehen eher schlecht. Eine Reihe größerer und kleinerer Gruppen ist nach wie vor tätig. Aber zumindest scheint die gestiegene Sensibilität für das Thema in Behörden und Politik erste Wirkung zu entfalten. (red, 29.8.2021)