{"id":26122,"date":"2021-01-22T13:22:32","date_gmt":"2021-01-22T11:22:32","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=26122"},"modified":"2021-01-26T12:15:57","modified_gmt":"2021-01-26T10:15:57","slug":"rc3-bitcoin-ransom-tracing","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/rc3-bitcoin-ransom-tracing\/26122\/","title":{"rendered":"Die Bitcoin- und Kryptospur von Ransomware"},"content":{"rendered":"

Je besser wir den Modus Operandi und das Ausma\u00df der T\u00e4tigkeiten von Cyberkriminellen verstehen, umso besser kann Cyberkriminalit\u00e4t bek\u00e4mpft werden. Im Fall von Ransomware ist es keine leichte Aufgabe herauszufinden, wie gro\u00df der Erfolg oder wie hoch der Ertrag einer bestimmten kriminellen Gruppe ist. Cybersicherheitsanbieter erfahren in der Regel mehr \u00fcber diese Angriffe durch Beobachtung und Kommunikation mit ihren Kunden, was im Grunde genommen bedeutet, dass wir nur die gescheiterten Versuche sehen. Ransomware-Opfer reden normalerweise nicht \u00fcber den Vorfall (vor allem, wenn sie das L\u00f6segeld bezahlt haben).<\/p>\n

Aus diesem Grund ist es schwer an zuverl\u00e4ssige Informationen \u00fcber erfolgreiche Angriffe heranzukommen. Allerdings pr\u00e4sentierte ein Forscherteam auf dem Remote Chaos Communication Congress (RC3) 2020 eine recht einfallsreiche Methode zur Analyse von vollst\u00e4ndigen Cyberverbrecher-Kampagnen anhand der Spuren der Kryptow\u00e4hrung.<\/p>\n

Experten der Princeton University, New York University und University of California, San Diego sowie Mitarbeiter von Google und Chainalysis Inc. f\u00fchrten 2016 und 2017 eine Studie durch. Das ist schon eine Weile her, aber die Methode ist auch heute noch anwendbar.<\/p>\n

Forschungsmethode<\/h2>\n

Verbrecher hinterlassen ungern Geldspuren. Aus diesem Grund bevorzugen moderne Cyberkriminelle Kryptow\u00e4hrung (besonders Bitcoin), da diese W\u00e4hrung so gut wie gar nicht reguliert ist und Anonymit\u00e4t gew\u00e4hrleistet. Zudem steht Kryptow\u00e4hrung allen zur Verf\u00fcgung und get\u00e4tigte Transaktionen k\u00f6nnen nicht storniert werden.<\/p>\n

Doch es gibt noch eine weitere Eigenschaft von Bitcoin: Alle Bitcoin-Transaktionen sind \u00f6ffentlich. Das bedeutet, dass es m\u00f6glich ist die Finanzstr\u00f6me zu verfolgen und einen Einblick in das Ausma\u00df der internen Funktionsweise des Wirtschaftssystems von Cyberkriminellen zu erhalten. Genau das haben die Forscher gemacht.<\/p>\n

Einige\u202f\u2013\u202fallerdings nicht alle\u202f\u2013\u202fAngreifer erstellen ein Bitcoin-Wallet f\u00fcr jedes einzelne Opfer, dementsprechend suchten die Forscher zuerst nach Wallets, die f\u00fcr L\u00f6segeldzahlungen angewendet werden. Die Forscher sp\u00fcrten einige der Wallets \u00fcber \u00f6ffentliche Nachrichten \u00fcber die Infizierung mit Ransomware auf (viele Opfer ver\u00f6ffentlichten online Screenshots mit den Erpressungsnachrichten) und andere Wallets fanden sie, indem sie Ransomware auf Testmaschinen laufen lie\u00dfen.<\/p>\n

Die Forscher begannen der Spur der Kryptow\u00e4hrung zu folgen, sobald der Betrag auf das Wallt \u00fcberwiesen wurde. Bei manchen F\u00e4llen war es erforderlich Bitcoin-Mikrozahlungen aus eigener Tasche zu machen. Da Bitcoin Cospending<\/em> unterst\u00fctzt, d.\u202fh.\u202fdass die digitale W\u00e4hrung von mehreren Wallets auf ein Wallet \u00fcberwiesen werden kann, haben sich das einige Cyberverbrecher zu Nutzen gemacht, um die L\u00f6segeldzahlungen von mehreren Opfern zusammenzubringen. Daf\u00fcr muss derjenige allerdings \u00fcber die Schl\u00fcssel zu mehreren Wallets<\/a> verf\u00fcgen. Die Verfolgung solcher Transaktionen erm\u00f6glichen es weitere Opfer zu finden und gleichzeitig die Adresse des zentralen Wallets ausfindig zu machen, auf das die Kryptow\u00e4hrung \u00fcberwiesen wurde.<\/p>\n

Durch die zwei Jahre lange Studie der Finanzstr\u00f6me in den Wallets, konnten sich die Forscher ein Bild von den Eink\u00fcnften der Cyberverbrecher machen und auch \u00fcber die Methoden, die f\u00fcr die Geldw\u00e4sche verwendet werden.<\/p>\n

Wichtigste Schlussfolgerungen<\/h2>\n

Das Kernergebnis der Studie belegte, dass 19.750 Opfer innerhalb von zwei Jahren insgesamt ca. 16 Millionen Dollar an die Betreiber der f\u00fcnf meistverwendeten Arten von Ransomware \u00fcberwiesen haben. Nat\u00fcrlich ist das keine hundertprozentig pr\u00e4zise Angabe, da davon auszugehen ist, dass die Forscher nicht alle Transaktionen aufgesp\u00fcrt haben, aber es bietet eine grobe Sch\u00e4tzung des Ausma\u00dfes der Aktivit\u00e4t von Cyberkriminellen vor ein paar Jahren.<\/p>\n

Hier noch ein interessanter Fakt: Ca. 90\u202f% der Einnahmen kamen von den Malware-Familien Locky<\/a> und Cerber<\/a> (derzeit die aktivste Ransomware-Bedrohung). Interessant ist auch, dass die ber\u00fcchtigte Schadsoftware WannaCry<\/a> nur ca. einhunderttausend Dollar verdient hat. (Allerdings wird diese Malware von Experten eher als Wiper eingestuft.)<\/p>\n

Einkommenssch\u00e4tzung der Entwickler der meistverwendeten Ransomware von 2016 bis 2017. <a href=\"https:\/\/media.ccc.de\/v\/rc3-11566-tracking_ransomware_end-to-end\">Quelle<\/a>

Einkommenssch\u00e4tzung der Entwickler der meistverwendeten Ransomware von 2016 bis 2017. Quelle<\/a><\/p><\/div>\n

Besonders interessiert waren die Forscher daran, wie viel Gewinn sich die Cyberverbrecher tats\u00e4chlich in die Tasche stecken konnten und wie sie das angestellt haben. Hierf\u00fcr analysierten die Forscher die Transaktionen, um herauszufinden welche Wallets in gemeinsamen Transaktionen auftauchten, einschlie\u00dflich der bekannten Wallets von Online-Service zum Umtausch von Kryptow\u00e4hrung. Nicht alle Fonds k\u00f6nnen auf diese Weise verfolgt werden, aber mit dieser Forschungsmethode wurde festgestellt, dass Cyberkriminelle ihr Geld in den meisten F\u00e4llen bei der Krypto-B\u00f6rsen BTC-e und dem beliebten Kryptogeld-Dienst Bitmixer.io umtauschten (beide B\u00f6rsen wurden sp\u00e4ter von den Beh\u00f6rden aufgrund von Geldw\u00e4sche stillgelegt).<\/p>\n

Leider wird auf der RC3-Website nicht das vollst\u00e4ndige Video angezeigt, es steht aber der vollst\u00e4ndige Text des Berichts zur Verf\u00fcgung<\/a>.<\/p>\n

Wie kann ich mich vor Ransomware sch\u00fctzen?<\/h2>\n

Rekordgewinne durch Ransomware verleiteten Cyberverbrecher teilweise dazu noch dreister zu werden. So stellten sie sich beispielsweise als den modernen Robin Hood vor und spendeten Geld an Wohlfahrtsorganisationen<\/a> und am n\u00e4chsten Tag investierten sie erneut in eine Werbekampagne<\/a>, um ihre Opfer weiter zu schikanieren. Mit dieser Studie versuchten die Forscher herauszufinden, was die Finanzstr\u00f6me unterbrechen und bei den Cyberkriminellen ernsthafte Zweifel dar\u00fcber aufkommen lassen k\u00f6nnte, ob Ransomware wirklich profitabel ist.<\/p>\n

Bislang ist die einzige wirklich effektive Methode zur Bek\u00e4mpfung von Cyberverbrechen immer noch der Schutz vor Infektion. Daher empfehlen wir Ihnen sich an folgende Regeln zu halten:<\/p>\n