Joseph Blount, CEO der grössten US-Benzin-Pipeline Colonial, hat gegenüber dem 'Wall Street Journal' bestätigt, die Lösegeldzahlung von 4,4 Millionen Dollar noch am Tag des Angriffs vom 7. Mai 2021 genehmigt zu haben. Er sei sich nicht sicher gewesen, wie lange der Shutdown andauern würde, sagte er im ersten Interview nach dem Hack: "Ich weiss, dass das eine höchst kontroverse Entscheidung ist". Er habe sich nicht wohl gefühlt, Geld an solche Leute zu geben, "aber es war das Richtige für unser Land", fügte er hinzu.

Colonial habe sich nach Gesprächen mit Experten, die sich zuvor mit der verantwortlichen Ransomware-Gang Darkside beschäftigt hatten, zur Zahlung des Lösegelds entschieden. Das Eingehen auf die Erpresser geschah, obwohl die US-Regierung in der Vergangenheit empfohlen hatte, dass Unternehmen bei Ransomware-Attacken nicht an Kriminelle zahlen sollten, da das zu weiteren Hacks einlade.

Dass ein Millionenbetrag geflossen ist, war seit dem 14. Mai 2021 bekannt. Damals wurde schon spekuliert, dass die Transaktion bloss Stunden nach dem Hack abgewickelt worden sei, um den Betrieb der Pipeline schrittweise wieder aufnehmen zu können. Die Hacker hatten umgehend ein Decryption-Tool zur Verfügung gestellt. Das sei aber derart langsam gewesen, dass Colonial seine Systeme von einem Backup neu aufsetzten musste.

Blount hat nun auch ausgeführt, dass es Monate dauern werde, bis alle Geschäftssysteme wiederhergestellt seien. Er schätzte den Schaden für sein Unternehmen auf mehrere 10 Millionen Dollar.

Interessant ist zudem, dass der Colonial-CEO in dem Interview bedauerte, ein bisher bestehendes gewisses Mass an Anonymität verloren zu haben: "Wir waren vollkommen glücklich, dass niemand wusste, wer Colonial Pipeline war, und leider ist das nicht mehr der Fall", sagte er.

Die Darkside-Bande hatte sich schon bald nach dieser Attacke als "unpolitisch" und nur an Geld interessiert dargestellt. Bekannt ist, dass die Ransomware-Gang im Mai 2021 auch den japanischen Technologiekonzern Toshiba und den Chemie-Multi Brenntag erpresst und dort Daten gestohlen hat. Auch Brenntag soll 4,4 Millionen Dollar bezahlt haben.

Inzwischen ist die öffentlich zugängliche Website von Darkside nicht mehr online. Sie wurde einigen Sicherheitsforschern zufolge gesperrt. Sie wird genutzt, um Daten von Opfern zu veröffentlichen, die kein Lösegeld zahlen. Einige Darkweb-Experten vermuten, dass die Bande damit die Strafverfolgung erschweren will. Glaubt man einem Blog-Eintrag der Bitcoin-Analysten von Elliptic, sind bis zur Schliessung der Seite insgesamt 90 Millionen Dollar an Bitcoin-Lösegeldzahlungen an Darkside geflossen.