Die Bitcoin- und Kryptospur von Ransomware

Von 2016 bis 2017 haben sich Cyberkriminelle mit über 16 Millionen Dollar davongemacht.

Je besser wir den Modus Operandi und das Ausmaß der Tätigkeiten von Cyberkriminellen verstehen, umso besser kann Cyberkriminalität bekämpft werden. Im Fall von Ransomware ist es keine leichte Aufgabe herauszufinden, wie groß der Erfolg oder wie hoch der Ertrag einer bestimmten kriminellen Gruppe ist. Cybersicherheitsanbieter erfahren in der Regel mehr über diese Angriffe durch Beobachtung und Kommunikation mit ihren Kunden, was im Grunde genommen bedeutet, dass wir nur die gescheiterten Versuche sehen. Ransomware-Opfer reden normalerweise nicht über den Vorfall (vor allem, wenn sie das Lösegeld bezahlt haben).

Aus diesem Grund ist es schwer an zuverlässige Informationen über erfolgreiche Angriffe heranzukommen. Allerdings präsentierte ein Forscherteam auf dem Remote Chaos Communication Congress (RC3) 2020 eine recht einfallsreiche Methode zur Analyse von vollständigen Cyberverbrecher-Kampagnen anhand der Spuren der Kryptowährung.

Experten der Princeton University, New York University und University of California, San Diego sowie Mitarbeiter von Google und Chainalysis Inc. führten 2016 und 2017 eine Studie durch. Das ist schon eine Weile her, aber die Methode ist auch heute noch anwendbar.

Forschungsmethode

Verbrecher hinterlassen ungern Geldspuren. Aus diesem Grund bevorzugen moderne Cyberkriminelle Kryptowährung (besonders Bitcoin), da diese Währung so gut wie gar nicht reguliert ist und Anonymität gewährleistet. Zudem steht Kryptowährung allen zur Verfügung und getätigte Transaktionen können nicht storniert werden.

Doch es gibt noch eine weitere Eigenschaft von Bitcoin: Alle Bitcoin-Transaktionen sind öffentlich. Das bedeutet, dass es möglich ist die Finanzströme zu verfolgen und einen Einblick in das Ausmaß der internen Funktionsweise des Wirtschaftssystems von Cyberkriminellen zu erhalten. Genau das haben die Forscher gemacht.

Einige – allerdings nicht alle – Angreifer erstellen ein Bitcoin-Wallet für jedes einzelne Opfer, dementsprechend suchten die Forscher zuerst nach Wallets, die für Lösegeldzahlungen angewendet werden. Die Forscher spürten einige der Wallets über öffentliche Nachrichten über die Infizierung mit Ransomware auf (viele Opfer veröffentlichten online Screenshots mit den Erpressungsnachrichten) und andere Wallets fanden sie, indem sie Ransomware auf Testmaschinen laufen ließen.

Die Forscher begannen der Spur der Kryptowährung zu folgen, sobald der Betrag auf das Wallt überwiesen wurde. Bei manchen Fällen war es erforderlich Bitcoin-Mikrozahlungen aus eigener Tasche zu machen. Da Bitcoin Cospending unterstützt, d. h. dass die digitale Währung von mehreren Wallets auf ein Wallet überwiesen werden kann, haben sich das einige Cyberverbrecher zu Nutzen gemacht, um die Lösegeldzahlungen von mehreren Opfern zusammenzubringen. Dafür muss derjenige allerdings über die Schlüssel zu mehreren Wallets verfügen. Die Verfolgung solcher Transaktionen ermöglichen es weitere Opfer zu finden und gleichzeitig die Adresse des zentralen Wallets ausfindig zu machen, auf das die Kryptowährung überwiesen wurde.

Durch die zwei Jahre lange Studie der Finanzströme in den Wallets, konnten sich die Forscher ein Bild von den Einkünften der Cyberverbrecher machen und auch über die Methoden, die für die Geldwäsche verwendet werden.

Wichtigste Schlussfolgerungen

Das Kernergebnis der Studie belegte, dass 19.750 Opfer innerhalb von zwei Jahren insgesamt ca. 16 Millionen Dollar an die Betreiber der fünf meistverwendeten Arten von Ransomware überwiesen haben. Natürlich ist das keine hundertprozentig präzise Angabe, da davon auszugehen ist, dass die Forscher nicht alle Transaktionen aufgespürt haben, aber es bietet eine grobe Schätzung des Ausmaßes der Aktivität von Cyberkriminellen vor ein paar Jahren.

Hier noch ein interessanter Fakt: Ca. 90 % der Einnahmen kamen von den Malware-Familien Locky und Cerber (derzeit die aktivste Ransomware-Bedrohung). Interessant ist auch, dass die berüchtigte Schadsoftware WannaCry nur ca. einhunderttausend Dollar verdient hat. (Allerdings wird diese Malware von Experten eher als Wiper eingestuft.)

Einkommensschätzung der Entwickler der meistverwendeten Ransomware von 2016 bis 2017. <a href="https://media.ccc.de/v/rc3-11566-tracking_ransomware_end-to-end">Quelle</a>

Einkommensschätzung der Entwickler der meistverwendeten Ransomware von 2016 bis 2017. Quelle

Besonders interessiert waren die Forscher daran, wie viel Gewinn sich die Cyberverbrecher tatsächlich in die Tasche stecken konnten und wie sie das angestellt haben. Hierfür analysierten die Forscher die Transaktionen, um herauszufinden welche Wallets in gemeinsamen Transaktionen auftauchten, einschließlich der bekannten Wallets von Online-Service zum Umtausch von Kryptowährung. Nicht alle Fonds können auf diese Weise verfolgt werden, aber mit dieser Forschungsmethode wurde festgestellt, dass Cyberkriminelle ihr Geld in den meisten Fällen bei der Krypto-Börsen BTC-e und dem beliebten Kryptogeld-Dienst Bitmixer.io umtauschten (beide Börsen wurden später von den Behörden aufgrund von Geldwäsche stillgelegt).

Leider wird auf der RC3-Website nicht das vollständige Video angezeigt, es steht aber der vollständige Text des Berichts zur Verfügung.

Wie kann ich mich vor Ransomware schützen?

Rekordgewinne durch Ransomware verleiteten Cyberverbrecher teilweise dazu noch dreister zu werden. So stellten sie sich beispielsweise als den modernen Robin Hood vor und spendeten Geld an Wohlfahrtsorganisationen und am nächsten Tag investierten sie erneut in eine Werbekampagne, um ihre Opfer weiter zu schikanieren. Mit dieser Studie versuchten die Forscher herauszufinden, was die Finanzströme unterbrechen und bei den Cyberkriminellen ernsthafte Zweifel darüber aufkommen lassen könnte, ob Ransomware wirklich profitabel ist.

Bislang ist die einzige wirklich effektive Methode zur Bekämpfung von Cyberverbrechen immer noch der Schutz vor Infektion. Daher empfehlen wir Ihnen sich an folgende Regeln zu halten:

  • Schulen Sie Mitarbeiter damit Social-Engineering-Methoden in Ihrem Unternehmen sofort erkannt werden. Abgesehen von einigen ungewöhnlichen Fällen, versuchen Angreifer in der Regel die Computer über ein schädliches Dokument oder einen bösartigen Link zu infizieren.
  • Aktualisieren Sie Software regelmäßig, besonders die Software der Betriebssysteme. Ransomware und die dazugehörigen Delivery-Tools nutzen gerne Sicherheitslücken aus, die noch nicht gepatched wurden.
  • Nutzen Sie Sicherheitslösungen mit eingebautem Ransomware-Schutz – Im Idealfall eine Lösung, die sowohl vor bekannten als auch vor noch unbekannten Bedrohungen schützt.
  • Führen Sie regelmäßige Backups durch und speichern Sie sie vorzugsweise auf separaten Medien, die nicht permanent mit Ihrem lokalen Netzwerk verbunden sind.
Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.