- Die Zahlungen stammten von US-Gesundheitsorganisationen, die 2021 angegriffen worden waren.
- Das FBI konnte die Zahlungen zurückverfolgen, nachdem es die von den Hackern verwendete Ransomware identifiziert hatte.
Nach Angaben der stellvertretenden Generalstaatsanwältin Lisa Monaco haben die US-Strafverfolgungsbehörden von nordkoreanischen Hackern fast 500 Millionen Dollar zurückgefordert. Bei dem Betrag handelt es sich um Ransomware-Zahlungen, die von US-Gesundheitsorganisationen erpresst worden waren, insbesondere von einem medizinischen Zentrum in Kansas und einem Krankenhaus in Colorado.
Monaco gab diese Informationen in ihrer Rede auf einer Veranstaltung zur Cybersicherheit in New York bekannt. Sie sagte, das FBI habe die Aktivitäten der von Nordkorea unterstützten Hackergruppe inzwischen unterbinden können und herausgefunden, dass die Hackergruppe die Ransomware „Maui“ für ihre Cyber-Attacken benutze. In einer offiziellen Erklärung des Justizministeriums heißt es, dass die von Nordkorea gedeckten und unterstützten Hacker im Mai 2021 die Server des Kansas Medical Center angegriffen und deren Funktion sabotiert hatten. Anschließend erpressten sie erfolgreich die Ransomware-Zahlung, bevor sie die Server wieder zugänglich machten.
Das Krankenhaus erstattete Strafanzeige, nachdem es das Lösegeld mit Bitcoin im Wert von 100.000 Dollar bezahlt hatte. Das FBI fand heraus, dass die Hacker die Ransomware „Maui“ für ihre Angriffe verwendet hatten. Außerdem wurden die gezahlten Bitcoin zu einer in China ansässigen Geldwäschergruppe zurückverfolgt.
Das FBI entdeckte weiter dass auch ein Krankenhaus in Colorado vor drei Monaten 120.000 Dollar auf ein überwachtes Kryptokonto überwiesen hatte. Das Konto ist eines der Konten, die von der Hackergruppe genutzt werden. Im Mai 2022 beschlagnahmten Strafverfolgungsbeamte weitere Kryptowährung von zwei Krypto-Konten, die ebenfalls Zahlungen von US-Krankenhäusern erhalten hatten.
Nach diesem Vorfall leitete das Justizministerium die notwendigen Maßnahmen ein, um die Ransomware-Zahlungen zurückzufordern und sie an die Gesundheitsdienstleister zurückzugeben. Der stellvertretende Generalstaatsanwalt Olsen sagte, es sei immer ein gutes Geschäft und ein Weg, die Vereinigten Staaten zu schützen, wenn Opfer von Cyberkriminalität den Vorfall den Strafverfolgungsbehörden melden und bei den Ermittlungen kooperieren. Er sagte auch, dass die Rückgabe solcher Gelder an die Geschädigten Opfer nur durch eine solche Kooperation möglich sei.
Aufhebung der Bedrohung
Vor einigen Wochen gaben mehrere US-Regierungsdienststellen eine gemeinsame öffentliche Erklärung zu den Aktivitäten der staatlich gesponserten Hacker ab, die es auf das US-Gesundheitswesen abgesehen haben.
Das Weiße Haus teilte mit, dass Nordkorea Cyberangriffe und Ransomware-Erpressungen aus zwei Gründen einsetze. Nordkorea versuche, Wirtschaftssanktionen zu umgehen, und sich damit Geld zu beschaffen, um seine militärische Aufrüstung zu finanzieren.
Außerdem hat das FBI aufgedeckt, dass die von Nordkorea unterstützte Lazarus-Gruppe für den Diebstahl digitaler Währungen im Wert von 620 Millionen Dollar aus einem Web3-Spielenetzwerk im März dieses Jahres verantwortlich war.
Darüber hinaus beschuldigt ein Bericht von Elliptic, einem Unternehmen für Blockchain-Analysen, dieselbe Gruppe, für den Diebstahl von Kryptowährungen im Wert von 100 Millionen Dollar vom Kryptotransfer-Dienstleister Horizon Bridge verantwortlich zu sein.
Mehr zum Thema: Nordkoreanische Hackergruppe Lazarus steckt hinter dem 100-Millionen-Hack der Horizon-Bridge
In der vergangenen Woche haben Forscher des Microsoft Threat Intelligence Center die Ransomware „Holy Ghost“ entdeckt. Die Ransomware die eueste aus Nordkorea und wurde in den letzten 12 Monaten bereits „erfolgreich“ gegen kleine Unternehmen in verschiedenen Ländern eingesetzt.