Ransomware – USA erhöhen Druck. (Foto: posteriori/Shutterstock)
Nach einer wahren Erpressungswelle in den USA hatten die Behörden den Druck auf die Cyberkriminellen zuletzt stark erhöht. Der Ransomware-Angriff auf den Pipeline-Betreiber Colonial Pipeline hatte das US-Justizministerium sogar bewogen, Cyberangriffe in Sachen Priorisierung bei der Strafverfolgung auf eine Stufe mit Terrorattacken stellen zu wollen. Die angezogenen Daumenschrauben scheinen schon Wirkung zu zeigen. Eine populäre Ransomware-Gruppe hat ihr Treiben offenbar beendet.
Druck: Erfolgreiche Ransomware-Erpresser geben auf
Avaddon hatte sich in den vergangenen Monaten einen Spitzenplatz im unrühmlichen Ranking der am meisten eingesetzten Ransomware-Varianten erarbeitet. Dass die offenbar „erfolgreichen“ Erpresser jetzt die Segel streichen, ist für die Opfer natürlich eine gute Nachricht. Für die Aufgabe dürfte aber wohl kaum ein plötzlicher Sinneswandel verantwortlich gewesen sein, sondern eben die zunehmende Angst, erwischt zu werden. Schließlich war es dem FBI zuletzt gelungen, sich Zugriff auf die Bitcoin-Wallet der Colonial-Pipeline-Erpresser zu verschaffen – und insgesamt 63,7 Bitcoin zu retten.
Die Ransomware-Gruppe Avaddon hat sich übrigens über die Plattform bleepingcomputer.com aus dem Geschäft verabschiedet. Die Redakteure dort erhielten eine Nachricht mit einem Passwort und einem Link zu einem geschützten Zip-File, die angeblich vom FBI stammen sollte. Die Datei trug den Namen „Decryption Keys Ransomware Avaddon“ – und enthielt tatsächlich Decryption-Keys, wie eine Prüfung von Experten ergab. Insgesamt zählte bleepingcomputer.com 2.934 Decryption-Keys. Jeder von ihnen soll zu einem Erpressungsopfer gehören. Auf dieser Website können Avaddon-Opfer ihre Dateien kostenlos entschlüsseln lassen.
Avaddon-Gruppe kassiert vor Aufgabe noch ab
In den vergangenen Tagen sollen die hinter Avaddon stehenden Cyberkriminellen ihre Opfer noch einmal bearbeitet haben, das Lösegeld schnell zu überweisen. Dabei sollen sie jegliche Gegenangebote akzeptiert haben, was Beobachtern zufolge ungewöhnlich ist. Dem Coveware-CEO Bill Siegel zufolge soll Avaddon im Schnitt 600.000 US-Dollar verlangt haben, um die verschlüsselten Dateien wieder zu entschlüsseln.
Dass Ransomware-Gruppen vor einer Auflösung oder dem Start einer neuen Attacke mit neuer Software die Decryption-Keys herausrücken, ist derweil nicht allzu ungewöhnlich. Ähnliches hatten auch schon Teslacrypt, Crysis, AES-NI, Shade, Fileslocker, Ziggy und Fonixlocker getan, wie bleepingcomputer.com aufzählt. Dass aktuell alle Tor-Seiten von Avaddon nicht mehr zugänglich sind, deutet darauf hin, dass Avaddon tatsächlich Geschichte ist.
