Colonial Pipeline: FBI beschlagnahmt Großteil des Lösegeldes
Ein Erpressungstrojaner hatte die Pipeline-Firma erwischt. Sie zahlte Lösegeld in Form von Bitcoin und hatte Glück im Unglück.
Das Symbolbild zeigt ein Warnschild über einer anderen unterirdisch verlegten US-Pipeline.
(Bild: Daniel AJ Sokolov)
75 Bitcoin Lösegeld hat der US-Pipelinebetreiber Colonial Pipeline im Mai an europäische Verbrecher gezahlt, die IT-Systeme der Firma mit einem Erpressungstrojaner verschlüsselt hatten. Nun hat das FBI 63,7 Bitcoin des Lösegeldes wieder sichergestellt. Aufgrund des stark gefallenen Bitcoin-Kurses ist das trotzdem ein Millionenverlust für Colonial Pipeline.
IT-Systeme der Verwaltung Colonial Pipelines waren am 7. Mai gehackt worden. Daraufhin legte die Firma ihre gleichnamige Pipeline still, vermutlich um sich den Aufwand manueller Abrechnungen zu ersparen. Die Stilllegung führte zu höheren Benzinpreisen in den USA und leeren Tankstellen an der Ostküste. Normalerweise liefert die Colonial Pipeline nach eigenen Angaben etwa 45 Prozent der an der Ostküste verbrauchten Kraftstoffe.
Follow the Money
Bereits am 8. Mai zahlte Colonial Pipeline die 75. Damals waren die 75,0005 Bitcoin Lösegeld etwa 4,3 Millionen US-Dollar wert (damals 3,55 Millionen Euro). Grundsätzlich wäre die Zahlung illegal: Wer in den USA Lösegeld zahlt, könnte selbst im Knast landen. Doch hatte das Unternehmen vor der Zahlung das FBI informiert und offenbar eine rechtlich mögliche Genehmigung erhalten.
Die Ermittler wussten also, auf welches Bitcoin-Wallet Colonial Pipeline die Zahlung geleistet hatte. Sie machten sich dann den Umstand zu Nutze, dass Bitcoin-Zahlungen leicht nachverfolgbar sind. Es ist Bitcoin systemimmanent, dass alle Transfers in einem öffentlichen, verteilten Verzeichnis manipulationssicher gespeichert werden. Dabei zeigte sich, dass die 75 Bitcoin mehrmals aufgeteilt und an andere Bitcoin-Wallets übertragen wurden.
Schließlich sind am 27. Mai 63,7 Bitcoin in einem Wallet gelandet, dessen Schlüssel das FBI besitzt. Woher das FBI gerade diesen passenden Schlüssel hat, geht aus der veröffentlichten Eingabe bei Gericht nicht hervor. Jedenfalls war es dann ein Leichtes, einen gerichtlichen Befehl zur Beschlagnahme zu erwirken (US-Bundesbezirksgericht für Nordkalifornien, Az. 33:21-mj-70945-LB).
Fallende Wechselkurse
Allerdings ist der Bitcoin-Kurs im letzten Monat gefallen. Die 63,7 Bitcoin sind zwar fast 85 Prozent des Lösegeldes, in Dollar machen sie aber "nur noch" etwa 2,3 Millionen oder gut 53 Prozent aus. In Euro umgerechnet hat die Behörde von ursprünglich 3,55 Millionen Euro 1,89 Millionen wiederbeschafft. Die Neben- und Folgekosten des Hacks dürften Colonial Pipeline wesentlich teurer zu stehen kommen.
Vergebens hatte Colonial Pipeline den Crypto-Erpressern die Millionen gegeben: Zwar sollen die Erpresser Software zur Entschlüsselung übermittelt haben, doch soll diese so langsam gewesen sein, dass es schneller war, Backups einzuspielen. Denkbar ist, dass Colonial Pipeline nicht nur in der Hoffnung auf flotte Entschlüsselung gezahlt hat, sondern auch in der Hoffnung darauf, dass die Täter die erbeuteten Daten nicht veröffentlichen. Das könnten sie jetzt natürlich noch immer tun.
(ds)