Weitere Ransomware-Hacker festgenommen, Bitcoins beschlagnahmt – BitcoinBlog.de – d …


Cyberkriminalität. Bild von Richard Patterson / Comparitech über flickr.com. Lizenz: Creative Commons

Lange galten sie als schwer zu fassen: Hacker, die mit Ransomware Geld von ihren Opfern erpressen. Der Erfolg der polizeilichen Ermittlungen gegen REvil zeigt nun, dass der Kampf gegen Ransomware nicht so aussichtslos ist, wie es scheint.

Eigentlich sind "Affiliates" in der Netzwerkökonomie ziemlich klar definiert. "Affiliates", manchmal auch "Partner" genannt, sind Publizisten, die "Affiliate-Links" verwenden, um ihre Leser oder Website-Besucher auf die Werbetreibenden zu verweisen. Websites und erhalten dann eine Provision, wenn die Leser zu Kunden werden.

Affiliates sind kostenlose Werbepartner, die ihr Geld nicht allein durch die Ausstrahlung von Werbung, sondern ausschließlich durch Provisionen verdienen. Die Rentabilität von Partnerprogrammen variiert stark. Einige sind, insbesondere für große Websites, ausgezeichnete Möglichkeiten, Ihre Arbeit vergolden zu lassen; andere hingegen werfen bestenfalls ein paar Kaffeeklatschen weg.

Zu den lukrativsten derzeit verfügbaren Partnerprogrammen gehören die von Ransomware-Betreibern wie REvil . Die Autoren von Ransomware machen sich seit einigen Jahren nicht mehr die Mühe, die Schadsoftware selbst auf andere Systeme zu bringen, sondern setzen auf Partner.

Diese Partner erhalten die Software von den Hackern. Sie infiltrieren die Systeme der Opfer – teils durch ausgeklügelte Hacking-Technologien, teils durch abscheuliche Spam-E-Mails – und laden die Ransomware hoch. Wenn das Opfer dann zahlt, erhält es einen Anteil des Erlöses, in der Regel 70-80 Prozent. Die Autoren der Ransomware können derweil die Füße hochlegen und zusehen, wie das Geld hereinrollt.

Millionen-Affiliate-Geldbörse beschlagnahmt

Kürzlich hat das US-amerikanische FBI diese Affiliates nun zugeknöpft. Die Ermittler haben einen russischen Staatsbürger, Aleksandr Sikerin, ausfindig gemacht, der in Sankt Petersburg lebt.

Das FBI wirft Sikerin vor, sich unbefugten Zugriff auf andere Computer zu verschaffen, dort die REvil-Ransomware zu installieren und dann Geld durch Waschen zu bekommen. Aufgrund dieser Vorwürfe beschlagnahmten die Beamten ein Exodus-Wallet von Sikerin, das 39,9 Bitcoins oder rund 2,3 Millionen Dollar enthielt.

Sikerin ist laut Anklageschrift für Ransomware-Angriffe verantwortlich, die zu Lösegeldzahlungen von rund 200 Millionen Dollar geführt haben. Teilweise können diese Lösegeldzahlungen mit der Brieftasche von Sikerin verknüpft werden, die nun unter der Kontrolle des FBI steht.

Wie es dem FBI genau gelungen ist, "eine Exodus-Brieftasche" in Besitz zu nehmen, ist noch unklar. Exodus ist eine Wallet für Desktop-Computer und mobile Geräte. Es wurde oder steht in der Kritik, weil nicht alle Teile des Codes Open Source sind, es aber eher unwahrscheinlich ist, dass das Wallet eine so umfangreiche Hintertür enthält, dass die US-Regierung auf Knopfdruck Geld beschlagnahmen kann. Der Zugriff ist wahrscheinlicher entweder durch die Beschlagnahme von Geräten oder einen Hack.

Ein internationaler Schlag gegen REvil

Die Brieftasche könnte auch Teil einer umfangreicheren Beschlagnahme vor einem Monat gewesen sein. Anfang November beschuldigte das US-Justizministerium einen Ukrainer und einen Russen, hinter einem der schlimmsten Ransomware-Angriffe auf Amerikaner zu stecken.

Konkret ging es um den Angriff auf den Softwareanbieter Kaseya im Juli durch die Ransomware REvil. Da sich seine Software in zahlreichen Systemen befindet, ging der Angriff um die Welt. Tausende Unternehmen waren betroffen, darunter alle Koops in Schweden. Der Ukrainer Jaroslaw Vasinskij wurde im Oktober desselben Jahres in Polen festgenommen. Ihm und seinem russischen Kollegen Yevgeny Polynin wird vorgeworfen, in die Opfer eingebrochen zu sein. Computer und installieren Sie dort die Ransomware REvil. Im Gegensatz zu Vasinsky ist Polynin immer noch auf freiem Fuß. Im Zuge dieser Ermittlungen haben US-Behörden Bitcoins und Monero im Wert von mehr als sechs Millionen Dollar beschlagnahmt, die auf Lösegeldzahlungen zurückzuführen sind. Neben dem FBI waren auch Europol und andere Polizeibehörden beteiligt.

Nach Angaben von Europol wurden Anfang November in Rumänien zwei weitere Angeklagte wegen Verbreitung der Ransomware REvil festgenommen, und Beamte in Südkorea bestätigten, dass sie drei Verdächtige festgenommen hatten. Insgesamt verfolgten die Ermittler 12 Verdächtige, denen vorgeworfen wird, für Ransomware-Angriffe in 71 Ländern verantwortlich zu sein.

Aber kein perfektes Verbrechen

Lange Zeit galt Ransomware als „perfektes Verbrechen“, weil es so gut wie unmöglich schien, die Täter ausfindig zu machen. Jetzt scheint sich das Blatt langsam zu wenden. Zumindest die Erfolge der Ermittlungen gegen REvil sprechen dafür.

Ein Grund dafür ist wahrscheinlich, dass die Ransomware-Hacker die Kurve überschritten haben. Schon der Hack einer prominenten Anwaltskanzlei war Grund genug für die US-Regierung, von " Cyber-Terrorismus " zu sprechen; die anhaltenden Angriffe auf Stadtverwaltungen Krankenhäuser und Universitäten müssen die Behörden erschöpft haben' Geduld; der Hack der Colonial Pipeline sowie von Kasey waren die Tropfen, die übergelaufen sind.

Bitcoin und das Darknet zwingen Strafverfolgungsbehörden weltweit zur supranationalen Zusammenarbeit. Wir kennen dies bereits von einigen spektakulären Erfolgen gegen Darknet-Marktplätze . Die Polizei nutzt nun konsequent die im Kampf gegen Ransomware aufgebauten Ressourcen und Kompetenzen.

Darüber hinaus erscheint auch ein Strategiewechsel erfolgversprechend. Kimberly Goody, Direktorin der Sicherheitsfirma Mandiant, sagte, das Knacken von Partnern sei möglicherweise vielversprechender als der Kern der Ransomware-Gang. Denn nicht nur die Affiliates sind näher am Tatort – sie hacken den Computer, nicht die Ransomware-Autoren – sie sind auch oft weniger vorsichtig und „ihre Fähigkeiten sind gefragter als Verschlüsselungssoftware“. Einige Partner arbeiten auch für mehrere Gangs. Es könnte also sein, dass nicht die Softwareentwickler, sondern die verbundenen Unternehmen die Engpässe der Ransomware-Wirtschaft sind. Tatsächlich scheint es schwierig zu sein, an die Autoren der Software selbst zu gelangen. Die Macher von REvil zogen sich im Sommer zurück, nachdem die Colonial Pipeline gehackt wurde. Vermutlich haben sie erkannt, dass eine Grenze überschritten wurde.


Vielen Dank dieser Text stammt von

[ENGLISH]