OFAC: Vorsicht bei digitalen Erpressungen

WER LÖSEGELD ZAHLT, KANN (MUSS ABER NICHT) ÄRGER MIT DER OFAC BEKOMMEN.

Eine neue Warnung des Office of Foreign Assets Control, ein Arm des US-Finanzministeriums, stellte diese Woche klar: Lösegeldzahlungen an sanktionierte Cyber-Kriminelle sind nach US-Recht verboten und können verfolgt werden, auch im Ausland. Wer davon allerdings wirklich betroffen ist und unter welchen Umständen, dazu lohnt sich ein genauerer Blick.

Die OFAC schreibt in ihrem neuen Advisory vom 1. Oktober, dass diejenigen, die Ransomware-Zahlungen an sanktionierte Personen, Organisationen oder Länder „ermöglichen“ („facilitate“), von der US-Justiz strafrechtlich und zivilrechtlich verfolgt werden können.

Zivilrechtlich selbst dann, wenn der Geschädigte nicht wusste, an wen er eigentlich zahlt:

“…meaning that a person subject to U.S. jurisdiction may be held civilly liable even if it did not know or have reason to know it was engaging in a transaction with a person that is prohibited under sanctions laws and regulations administered by OFAC.”

Das hört sich alles sehr weitgreifend an, man muss aber die Kirche im Dorf lassen: nur wenige ausländische Unternehmen werden vermutlich von solcher Verfolgung durch die US-Justiz je betroffen sein.

Aber es lohnt sich, das Thema Ransomware/OFAC auf dem Schirm zu haben.

Wer ist betroffen?

Das Verbot betrifft in erster Linie US-Personen, wobei mit „Personen“ sowohl Individuen als auch Firmen und Organisationen gemeint sind.

Daneben gilt es allerdings für „transactions by a non-U.S. person which causes a U.S. person to violate any […] sanctions”. Also Zahlungen, bei denen ausländische Entitäten, z.B. deutsche Firmen, US-Entitäten involviert haben.

Im Kern richtet sich diese Warnung gegen:

  • Banken und andere Finanzinstitutionen
  • Versicherungen, die Cyber-Policen anbieten
  • International tätige Beratungsfirmen, die IT-Forensik und Cyber-Krisenreaktion betreiben

sofern diese an der Bereitstellung der Gelder in irgendeiner Form beteiligt waren.

Wer ist sanktioniert?

Bisher sind vor allem folgende Entitäten und Länder von der OFAC geblockt:

  • Der Russe Evgeniy Mikhailovich Bogachev, der mit seiner Ransomware „Cryptolocker“ hunderttausende Computer infiziert hatte.
  • Zwei Iraner, Ali Khorashadizadeh und Mohammad Ghorbaniyan, die Lösegeld-Bitcoins in offizielle Währung getauscht haben, nachdem die iranische Ransomware „SamSam“ hunderte Rechner befallen hatte.
  • Die vom nordkoreanischen Regime unterstützte Lazarus Group, sowie zwei ihrer Untergruppen, Bluenoroff und Andariel, auf deren Konto z.B. die Ransomware „WannaCry 2.0“ geht.
  • Ein weiterer Russe, Maksim Yakubets und dessen Organisation Evil Corp., der für die Dridex Malware verantwortlich sein soll, mit deren Hilfe hunderte Banken digital ausgeraubt wurden.
  • Folgende Länder sind insgesamt bei OFAC für Zahlungen von Lösegeldern geblockt: Kuba, Iran, Nordkorea und die Region Krim/Ukraine.

Diese Liste ist momentan noch sehr überschaubar. Es ist aber zu erwarten, dass sie wie alle US-Sanktionslisten in den nächsten Jahren länger werden wird.

Der „Nexus“ zählt mit

Zudem ist die Zahlung verboten, wenn sie an einen „Nexus“ der sanktionierten Personen/Gruppen geht. Damit ist ein Geflecht oder Netzwerk gemeint, das heißt potentiell, alle Personen oder Gruppen, die mit dem von der OFAC geblockten Cyber-Kriminellen irgendwie zusammenhängen

Die OFAC bleibt hier auffallend unscharf, vermutlich um möglichst weitgehende Jurisdiktion zu schaffen.

Was also tun?

Wenn Sie von Ransomware geschädigt wurden und darüber nachdenken, ob Sie evtl. Lösegeld zahlen wollen, um die Kontrolle über Ihre IT-Systeme zurückzubekommen, lassen Sie sich unbedingt vorab beraten.

Zentrale Fragen, die dabei individuell abgeklärt werden sollten:

  • Wie hoch ist das potentielle Schadensausmaß? (Worst Case Szenario)
  • Auf welchem Weg würden die Bitcoins gezahlt?  Die US-Justiz hat Tools und Möglichkeiten, mit denen sie Kryptowährungen zurückverfolgen kann – wenn sie sich den Aufwand machen will, der nicht unerheblich ist. Die Anonymität von Bitcoin ist somit begrenzt. Es sollte also aufgepasst werden, wie das Geld fließt.
  • Wer ist vermutlich die Tätergruppe? Hier sind Kommunikation und Ermittlungen inklusive digitaler Forensik notwendig.
  • Sollen US-Behörden informiert werden, um einer Strafverfolgung vorzubeugen? In Frage kommen FBI, FinCEN, U.S. Secret Service Cyber Fraud Task Force, Cybersecurity and Infrastructure Security Agency, Homeland Security Investigations Field Office sowie OFAC.
  • Ist das geschädigte Unternehmen strategisch/sicherheitspolitisch für die Amerikaner interessant oder ihnen evtl. sogar ein Dorn im Auge? Das könnte das Risiko und die Intensität der Verfolgung beeinflussen.

All diese Punkte sollten vor der Entscheidung über ein Lösegeld kritisch diskutiert und bedacht werden.

Advisory der OFAC: https://home.treasury.gov/system/files/126/ofac_ransomware_advisory_10012020_1.pdf

Die Autoren:

Sebastian Okada leitet die Abteilung Ermittlungen & Prävention | Wirtschaftskriminalität bei Corporate Trust in München.

Katharina Stocker überprüft Unternehmen und Personen weltweit auf Sanktionen und andere Integritätskriterien. Sie hält einen Master in International Affairs von der George Washington University in Washington D.C.

Kontakt:

intelligence@corporate-trust.de

+49 89 599 88 75 80

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s