BlackMatter testet Grenzen der „Hacker-Ethik“

Vor einigen Tagen wurde eine landwirtschaftliche Genossenschaft im Bundesstaat Iowa Opfer eines Ransomware-Angriffs. Die Auswirkungen für den großen US-Getreideproduzenten waren möglicherweise schlimmer als die des Angriffs auf die Colonial Pipeline im Mai. Verantwortlich für den Einbruch in die NEW Cooperative war die BlackMatter-Gruppe. Diese hat offenbar Verbindungen zu DarkSide oder einer neuen Marke von DarkSide. Das ist die Bande, die im Mai in den Pipeline-Fall verwickelt war. Die Lösegeldforderung belief sich auf 5,9 Millionen Dollar für die Nichtweitergabe gestohlener Daten und die Bereitstellung eines Entschlüsselungstools.

In Nachrichten, die mit Bloomberg News ausgetauscht wurden, behauptet BlackMatter, dass es nach Regeln arbeitet. Diese würden Krankenhäuser sowie den Verteidigungs- und Regierungssektor von seinen Zielen ausschließen. Zudem habe der Angriff auf die Kooperative nicht gegen diese vermeintliche Ethik verstoßen. Auch ignorierte BlackMatter das Gespräch zwischen US-Präsident Joe Biden und dem russischen Staatschef Wladimir Putin nicht, in dem versucht wurde, Grenzen zu setzen. Dabei wurden vor allem kritische Sektoren für die Vereinigten Staaten von den Angriffen ausgenommen. Die Gruppe BlackMatter drückt sich in russischer Sprache aus und verfasst auch ihre Quellcodes auf Russisch. Ihr Argument lautet, dass die landwirtschaftliche Tätigkeit dieser Genossenschaft nicht als kritisch angesehen werden könne.

Ein Screenshot der Verhandlungen zwischen der Gruppe und der Genossenschaft wurde auf Twitter gepostet. In ihm deutet der Sprecher der Genossenschaft jedoch an, dass die Ransomware-Gruppe das Ausmaß der Auswirkungen des Angriffs auf die Lieferkette falsch eingeschätzt hat. Denn dieser habe zur Unterbrechung der Lieferungen von Getreide, Schweinefleisch und Hühnern geführt.

„Die Auswirkungen dieses Angriffs sind wahrscheinlich viel schlimmer als der Angriff auf die Pipeline. Wir haben zudem keine Möglichkeit, dies aufgrund der bereits verursachten Unterbrechung zu kontrollieren“, sagte ein Vertreter der NEW Cooperative den Bedrohungsakteuren im Verhandlungschat. „Niemand wird euch Entschlüsselungsprogramme umsonst geben, ihr müsst Geld sammeln“, antwortete BlackMatter.

„BlackMatter behauptete, dass die Kooperative nicht unter die verbotenen Bereiche fällt, die der Präsident festgelegt hat. Diese Hacker operieren bereits außerhalb der Grenzen des Gesetzes, warum sollten sie also plötzlich die neuen Regeln befolgen? Wenn das die Haltung russischer Bedrohungsakteure gegenüber Warnungen des US-Präsidenten widerspiegelt, dann könnte das auf zukünftige ähnliche Angriffe hinweisen“, kommentiert Allan Liska, leitender Analyst beim Cybersicherheitsunternehmen Recorded Future.

NEW Cooperative arbeitet nach eigenen Angaben an alternativen Lösungen, um die Futtermittelversorgung während des Systemausfalls aufrechtzuerhalten. Das gab eine mit der Angelegenheit vertraute Person gegenüber Bloomberg an. Die Genossenschaft mit Sitz in Fort Dodge ist ein wichtiger Ernteabnehmer der Mitgliedsbetriebe. Sie vertreibt auch Treibstoff und landwirtschaftliche Chemikalien.

Wer ist BlackMatter?

BlackMatter wurde Ende Juli gegründet und präsentiert sich als neuer Ransomware-as-a-Service (RaaS). Er füllt die Lücke, die die DarkSide- und REvil-Gruppen hinterlassen haben, indem er die besten Tools und Techniken der beiden Gruppen sowie die von LockBit 2.0 übernimmt.

Die DarkSide-Ransomware-Teilnehmergruppe wurde für die vorübergehende Abschaltung der Colonial Pipeline im Mai verantwortlich gemacht. Diese hatte zu Engpässen bei der Kraftstoffversorgung und anschließenden Preiserhöhungen in den Vereinigten Staaten geführt. Die Bande gab bekannt, dass sie ihren Betrieb einstellt, nachdem ihre Server angeblich beschlagnahmt und ihre Kryptowährungs-Geldbörsen, die zur Bezahlung der Partner verwendet werden, geleert wurden.

Die DarkSide-Nachricht enthält Passagen, die offenbar von einem Leiter der REvil-Plattform verfasst wurden. Sie besagen, dass das RaaS-Programm neue Beschränkungen für die Arten von Organisationen einführt, die angegriffen werden können. So sollten beispielsweise Gesundheits- und Bildungseinrichtungen sowie Regierungsstellen in allen Ländern von den Zielen ausgeschlossen werden. Außerdem müssten die Partner eine Genehmigung einholen, bevor sie ihre Opfer angreifen.

In einem Blog über die Schließung von DarkSide erklärte das Cyber-Intelligence-Unternehmen Intel 471, es glaube, dass die Haltung der Ransomware-Gruppen in direktem Zusammenhang mit der Reaktion auf die in den Medien berichteten Angriffe stehen könnte.

Ist BlackMatter also nur eine neue Marke der Gruppen nach einem strategischen Rückzug? Oder ist es eine Cyber-Gang, die den von ihnen hinterlassenen Platz füllt? In jedem Fall sollten wir die nächsten Kapitel abwarten, um zu sehen, ob die von den Vereinigten Staaten auferlegten Grenzen eingehalten werden oder nicht.