Hacker und die Bitcoins
8. Juli 2021Sie geben sich nun auch verhandlungsbereit: Nach 70 Millionen US-Dollar sind die Angreifer nun wohl auch bereit, 50 Millionen zu akzeptieren. Dennoch wäre es die bisher größte Lösegeldforderung in der Geschichte der Cyberkriminalität. Dafür wollen die Hacker eine Erpressungssoftware - eine sogenannte Ransomware - unschädlich machen, die seit dem Wochenende die Systeme von geschätzt 1500 Unternehmen auf den Kopf stellt.
Hinter dem Angriff soll die Hackergruppe REvil stecken. Das Lösegeld fordert die Gruppe in Bitcoins. Joseph Edwards vom Kryptomakler Enigma Securities findet es ungewöhnlich, dass die Erpresser einen so hohen Betrag in Bitcoins fordern. "Das klingt mehr nach einem Werbetrick", schreibt Edwards auf DW-Anfrage.
Erpresser bevorzugen kleine Summen
Normalerweise würden Erpresser versuchen, die Summen eher klein zu halten und zwar zwischen 100 Tausend und zwei Millionen Dollar, so Edwards. "Das sind meist Beiträge, die sich lohnen, bei der Firmen aber auch bereit sind, schnell zu bezahlen, um schlechte Publicity und längere Ausfallzeiten zu vermeiden."
Es sei das Ziel der Kriminellen, dass die Behörden erst gar nicht eingeschaltet werden, denn sind die Fahnder den Bitcoin-Transaktionen einmal auf der Spur, komme es immer häufiger vor, "dass die Kriminellen erwischt werden, ihr Geld verlieren und einer Verhaftung nur entgehen, weil sie sich außerhalb der US-Gerichtsbarkeit befinden - beispielsweise in Russland oder China."
Dennoch habe Bitcoin die Erpressungen durch Ransomware erst salonfähig gemacht, sagt Mikko Hyppönen, Leiter der Forschungsabteilung beim finnischen Sicherheitdienstleister F-Secure gegenüber DW. 2013 habe man damit angefangen. "Man ging davon aus, dass Bitcoin anonym und nicht nachvollziehbar war. Doch seitdem haben die Kriminellen gelernt, dass es nicht so unauffindbar ist, wie sie dachten."
Die Analysefirma Chainanalyis analysiert Transaktionen mit Kryptowährungen. Eine ihrer Studien beschäftigt sich mit öffentlich gewordenen Lösegeldforderungen. Demnach steigt das Volumen in digitalem Währungen. Am häufigsten seien Bitcoins zum Einsatz gekommen, aber auch die Kryptowährung Monero spiele eine Rolle, schreibt Geschäftsführer Duncan Hoffman auf DW-Anfrage. Dennoch wisse man eben nur von Angriffen, die öffentlich gemacht wurden. "Wahrscheinlich gibt es noch viele weitere Fälle, in denen Organisationen stillschweigend Lösegeld zahlen, von denen wir nichts wissen.”
Bitcoin ist nicht ganz anonym
Der Vorteil von Bitcoin liegt erstmal auf der Hand. Die Kryptowährung ist die populärste und zugänglichste Digitalwährung. "Damit macht man es den Opfern von Erpressung einfacher, der Forderung nachzukommen”, so Thomas Faber von der Frankfurt School of Finance & Management.
Wer einen Bitcoin handeln möchte, der benötigt einen digitalen Geldbeutel - ein sogenanntes Wallet. Und dieses Wallet hat eine Adresse, die bei jeder Transaktion für immer gespeichert wird und von außen auch einsehbar ist. "Jeder kann den Kontostand und alle Transaktionen einer Adresse ohne Umwege einsehen und nachvollziehen”, so Faber.
Achillesferse Umtausch
Man könne zwar seine Identität hinter der Wallet-Adresse verstecken "doch irgendwann muss der Bitcoin in echtes Geld umgetauscht werden, ansonsten bleibt der Wert für viele Zwecke nutzlos.” An dieser Schnittstelle komme man in der Regel nicht mehr ohne Identitätsnachweis aus, sagt Faber. "Daher spricht man beim Bitcoin häufig davon, dass er nicht anonym, sondern pseudonym ist.”
Wird eine Kryptowährung in echtes Geld getauscht, ergeben sich gute Zugriffschancen für die Ermittler, sagt Joseph Edwards von Enigma Securities. "Fast alle Tauschbörsen verlangen eine erhebliche Identitätsüberprüfung für alle Transaktionen.”
Laut Analysen von Chainalysis sind erpresste Bitcoin-Summen zu über 80 Prozent an nur fünf Börsen transferiert worden. Das deute darauf hin, dass viele Tauschbörsen einen guten Job machten. "Es bedeutet aber auch, dass einige wenige eher ein Auge zudrücken oder die Aktivitäten einfach nicht überwachen”, so Geschäftsführer Hoffman.
Beide Seiten rüsten auf
Eine weitere Möglichkeit, die erbeuteten Bitcoins umzutauschen, seien sogenannte Peer-to-Peer Börsen, sagt Blockchain-Experte Faber. Dabei handelt es sich um einen Verkauf zwischen zwei Personen, der Online stattfindet. Versierte Erpresser könnten zudem auch im Darknet Dienstleistungen oder Produkte in Bitcoin einkaufen.
In beiden Fällen hat der Tauschpartner aber Bitcoins, die eventuell eines Tages einer Lösegeld-Transaktion zugeordnet werden können. Auch hier gebe es Möglichkeiten, die Herkunft der Bitcoins zusätzlich zu verschleiern. Sogenannte Mixer machen es möglich.
Dennoch seien die Werkzeuge zur Nachverfolgung immer stärker geworden, sagt Kryptoexperte Edwards. "Wenn das Lösegeld hoch genug ist und die Behörden ihre volle Aufmerksamkeit darauf richten, ist es leicht, den Kriminellen auf die Spur zu kommen.”
Dass Bitcoins als Lösegeld kein Selbstläufer ist, das hat auch die Hackergruppe Darkside zu spüren bekommen. Insgesamt hatte sie Bitcoins im Wert von über vier Millionen für die Freigabe eines Systems der Colonia Pipelinein den USA gefordert. Doch das FBI verfolgte den Weg der Bitcoins über 23 Wallets und konnte am Ende einen Großteil wieder sicherstellen. Ein klares Signal an die wachsende Anzahl von internationalen Hackergruppen: Wir sind Euch auf den Fersen.
Kurz danach hatte allerdings eine andere Gruppe knapp elf Millionen Dollar in Bitcoins beim weltgrößten Fleischhersteller JBS erbeutet. Das Verbrechen soll auch auf die Gruppe REvil zurückgehen. Hier fehlt von den digitalen Münzen noch jede Spur.