Ransomware-Zahlungen in Bitcoin und deren Verschleierung durch die Angreifer
Wie kriminelle Organisationen ihre Spuren auf der Blockchain verwischen
Blockchains (Ledger) sind wie Kontoauszüge, mit dem Unterschied, dass sie publik sind. Wird man Opfer einer Ransomware-Attacke, so fordern häufig die Angreifer eine Zahlung in Bitcoin. Lässt sich da nicht die Spur bis zu den Akteuren zurückverfolgen? Theoretisch schon und es passiert immer wieder, dass beim Versuch, solche Bitcoins über eine Börse umzuwandeln, die Betrüger auffliegen. Aber es gibt Methoden, um den Geldfluss doch zu verschleiern: Mixer oder Tumbler.
Ein Cryptocurrency Tumbler oder Mixing Service ist ein Dienst, der dazu dient, die Spuren von Kryptowährungstransaktionen zu verschleiern. Die grundlegende Idee dahinter ist, die Verbindung zwischen der Quelladresse (woher die Kryptowährung stammt) und der Zieladresse (wo die Kryptowährung hin geschickt wird) zu verschleiern, indem mehrere Transaktionen zwischen verschiedenen Beteiligten durchgeführt werden.
Vereinfacht funktioniert dies folgendermaßen:
- Versenden: Ein Nutzer sendet einen Betrag in Kryptowährung an den Mixing Service.
- Mischen der Kryptowährung: Der Mixing Service nimmt die empfangenen Kryptowährungseinheiten und mischt sie mit anderen Einheiten von verschiedenen Nutzern. Das erschwert es, die Ursprünge der Kryptowährung zu verfolgen.
- Verteilung an die Zieladressen: Die gemischten Kryptowährungseinheiten werden dann an die Zieladressen der Nutzer geschickt, allerdings nicht in der gleichen Reihenfolge wie sie angekommen sind. Das macht es schwerer, den Ursprung der Kryptowährung zuzuordnen.
Im Fall von Ransomware-Erpressungen wird oft eine Lösegeldzahlung in Kryptowährung, oft in Bitcoin, gefordert. Kriminelle könnten dann einen Mixing Service verwenden, um die Kryptowährung zu mischen und die Verbindung zwischen der Zahlung und ihrer eigenen Adresse zu verschleiern. Dies macht es für die Strafverfolgung schwieriger, die Geldströme zu verfolgen und die Verantwortlichen für Ransomware-Angriffe zu ermitteln. Das erschwert die Bekämpfung von Cyberkriminalität und macht die Strafverfolgung in solchen Fällen nahezu unmöglich.
Unser Tipp: Man sollte sich keine großen Hoffnungen machen, die Schuldigen ausfindig machen zu können, sondern lieber mit der März Managed Security vorsorgen. Mit einem User Awareness Training werden Mitarbeitende zu „Human Firewalls“ mit erhöhtem Sicherheitsbewusstsein und mit einem SIEM, einem Frühwarnsystem, schaffen wir eine höhere Transparenz und Handlungsfähigkeit bei der Erkennung und Behandlung von Angriffen.