NÖ-Gemeinde im Visier

Heimische Hacker-Spuren führen direkt nach Moskau

Riesenschlag gegen ein weltweites russisches Netzwerk erpresserischer Hacker. Indes führt auch die Spur zu einem Cyber-Angriff auf die Stadtgemeinde Korneuburg (NÖ) in den Kreml. Vor allem Lockbit gilt als höchst gefährliche Computerkriminalitäts-Gruppe.

Wie berichtet, wurden die Computer der Stadtgemeinde vor den Toren Wiens zuletzt praktisch lahmgelegt. Sogar Begräbnisse waren gestoppt, weil keine Anträge für Behördendokumente möglich waren. Durch ein Back-up konnten aber die Daten gesichert werden, langsam läuft das System wieder hoch.

Wie Cyber-Spezialisten ermitteln konnten, führen Spuren im Netz nach Moskau. Denn hinter dem professionellen Angriff soll die in Russland verortete Hackergruppe Lockbit stecken, die auch immer wieder für den russischen Staat Interessen durchsetzen soll.

Die Seite der Hacker wurde von Behörden übernommen.(Bild: HANDOUT)

Auch das Rathaus in Korneuburg soll im Visier russischer Cyber-Täter gewesen sein.(Bild: Huber Patrick)

Behörden hackten sich bei Hackergruppe ein
Dahinter verbirgt sich eine weltweit aktive Gruppe von Internet-Erpressern, die Daten mit Schadsoftware verschlüsseln und erst nach Lösegeldzahlungen wieder freigeben oder eben per Mausklick verkaufen. Doch die Hacker wurden diesmal bei der „Operation Cronos“ selbst gehackt. Der US-Bundespolizei FBI ist es in Zusammenarbeit mit internationalen und europäischen Behörden - in Österreich waren auch das Bundeskriminalamt und die Direktion Staatsschutz und Terrorismusbekämpfung (DSN) daran beteiligt - gelungen, die Internet-Seite der Cyber-Kriminellen zu übernehmen.

Entscheidend ist bei den internationalen Ermittlungen die enge Kooperation zwischen der Stadtgemeinde Korneuburg und dem Verfassungsschutz.

ÖVP-Innenminister Gerhard Karner zum Cyber-Angriff

„Zwei Drittel unserer Server sind bereits entschlüsselt. Vor allem Daten von 28. Jänner bis 2. Februar fehlen aber noch. Die Arbeiten am Netzwerk werden noch Monate andauern“, teilt Korneuburg-Bürgermeister Christian Gepp am Dienstag mit. Der Schaden wird mit mehr als 100.000 Euro beziffert, das Engagement externer IT-Spezialisten und Überstunden von Gemeindearbeitern inklusive.

Lockbit und auch die ebenso von Moskau gesteuerte berüchtigte Hackergruppe APT 28 (die Abkürzung steht für „Advanced Persistant Threat“, zu Deutsch „Fortgeschrittene und anhaltende Bedrohung“) sind in den vergangenen Jahren und besonders seit Beginn des Ukraine-Krieges hochaktiv. Neben etwa deutschen Regierungsbehörden und Krankenhäusern wurden zuhauf die Computernetzwerke von großen ausländischen Unternehmen angegriffen bzw. infiltriert. Denn Daten sind das neue Gold. Mit ihnen lässt sich neben politischer Destabilisierung ein Vermögen verdienen. Allein in Amerika sollen seit 2020 mindestens 1700 Organisationen zu Opfern geworden sein.

Russischer Cyberangriff auch auf Außenministerium
Auch das heimische Außenministerium stand vor vier Jahren bereits im Visier von Putins Hacker-Armee. Techniker und die Kriminellen im Netz lieferten sich wochenlang heftige Cybergefechte, bis der Angriff abgewehrt werden konnte

Die skrupellosen Lockbit-Kriminellen greifen im Darknet aus dem russischen Reich von Zar Wladimir Putin an.(Bild: overrust - stock.adobe.com)

„Mit ihrer Ransomware verschlüsseln diese Angreifer weltweit Computer von Tausenden Firmen und Organisationen“, warnt Cybersecurity-Experte Dr. Cornelius Granig. Perfide Methode: Die Hintermänner haben im Darknet eine starke Präsenz aufgebaut und vermieten ihre Schadsoftware auch an andere Kriminelle, mit denen sie die Einnahmen teilen. Dabei bleiben alle Beteiligten anonym - sodass sich die Täter auch untereinander nicht identifizieren können.

Seriöse Firma im berüchtigten Darknet
Nach außen trete Lockbit - so Granig - wie eine Firma auf und habe sogar einen namenlosen Pressesprecher. Ungenierte Werbung: „Für uns gelten keine Gesetze, wir arbeiten im Darknet. Dort kann jeder machen, was er möchte.“

Cybersecurity-Experte Dr. Cornelius Granig(Bild: klemens groh)

Doch wie funktioniert Ransomware? Über „Phishing-Mails“ werden die Zugangsdaten von Computersystemen immer dann erbeutet, wenn Benutzer unvorsichtig auf Links klicken und Informationen preisgeben. Damit gelangen die Angreifer in fremde Netzwerke und stehlen Daten. Danach verschlüsseln sie die unter Kontrolle gebrachten Systeme und fordern für das Entsperren Lösegeld in Kryptowährungen.