Wie waschen Cyberkriminelle Kryptowährungen?

Das schlimmstmögliche Ergebnis ist eingetreten. Ein Ransomware-Angriff hat mehrere Sicherheitsebenen durchbrochen und unternehmenskritische Daten verschlüsselt. Entweder existiert für diese Daten kein Backup, oder die Daten-Backups sind ebenfalls verschlüsselt. Es gibt keine dokumentierte Lösung, mit der Sie die Verschlüsselung rückgängig machen können. Da Sie keine andere Wahl haben, zahlen Sie das Lösegeld.

Insgesamt häufte die globale Ransomware-Branche allein im Jahr 2024 Hunderte Millionen Dollar in verschiedenen Kryptowährungen an. Aber die Geschichte dieses Geldes endet hier nicht. Es muss gewaschen werden – von illegalen Gewinnen in einen scheinbar legitimen Einkommensstrom umgewandelt werden. Wie verwandeln Cyberkriminelle ihre Lösegeldzahlungen in Geld, das sie ohne Angst vor Verhaftung ausgeben können?

Verschleierung böswilliger Akteure durch das Waschen von Ransomware-Zahlungen

Als die Kryptowährung ursprünglich erdacht wurde, wurde sie von Libertären als dezentralisierte Parallelwährung gefeiert, die es ihren Nutzern ermöglichen würde, ihr Vermögen und ihre Transaktionen vor zentralen Regierungen zu verbergen. In einer perfekten Welt – von einem bestimmten Standpunkt aus – müssten Sie keine Kryptowährung waschen. Sie könnten sie besitzen und ausgeben, ohne dass jemand weiß, dass Sie sie haben.

In Wirklichkeit sind Kryptowährungen nicht so unauffindbar, wie es Kriminelle gerne hätten. Es gibt mehrere Möglichkeiten für Strafverfolgungsbehörden, Blockchain-Transaktionen aufzudecken, Ransomware-Angreifer zu entlarven und Verhaftungen vorzunehmen.

• Attributionsdaten heben kriminelle Aktivitäten hervor: Kriminelle machen oft Fehler, die ihre Identifizierung ermöglichen. Nehmen wir zum Beispiel an, ein Hacker codiert die Adresse für Lösegeldzahlungen fest in seine Malware ein. Das bedeutet, dass die Wallet untrennbar mit kriminellen Aktivitäten verbunden ist. Jede Überweisung aus dieser Wallet ist wahrscheinlich mit demselben Angreifer verknüpft. (Ein intelligenterer Angreifer würde versuchen, für jede Malware-Instanz automatisch eine einzigartige Wallet zu generieren.)
• Data-Mining der Blockchain nach Hinweisen: Eine einzelne Ransomware-Gruppe kann Hunderte von Kryptowährungs-Wallets besitzen. Dies macht es weniger offensichtlich, wenn die Gruppe nach einem Angriff eine große Anzahl von Transaktionen erhält. Ein maschineller Lernalgorithmus namens DBSCAN (dichtebasierte räumliche Clusterung von Anwendungen mit Rauschen) kann die Verbindungen zwischen diesen Wallets aufdecken und es einfacher machen, die Besitzer zu enttarnen.
• Identifizierung von Off-Ramp-Transaktionen: Kriminelle müssen ihre Kryptowährung schließlich in Offline-Währung umwandeln, um sie auszugeben. Dazu gehört manchmal auch der Umgang mit Unternehmen – wie Banken –, die internationalen Vorschriften zur Bekämpfung der Geldwäsche oder zur Feststellung der Kundenidentität unterworfen sind. Sobald eine Wallet mit kriminellen Aktivitäten in Verbindung gebracht wird, können die Ermittler herausfinden, wann und wo ihr Inhalt in Geld umgewandelt wurde. Sie können dann die Bank, den Geldverleiher oder die Kryptowährungsbörse vorladen, um die Identität des Hackers aufzudecken.

Cyberkriminelle müssen nun immer ausgeklügeltere Maßnahmen ergreifen, um sich den Strafverfolgungsbehörden zu entziehen und ihre unrechtmäßig erworbenen Gewinne auszugeben.

Drei gängige Methoden, die Cyberkriminelle zum Waschen von Kryptowährungen verwenden

Hacker zeichnen sich durch ihre Bereitschaft aus, ihre Methoden anzupassen. Obwohl Regierungen zunehmend in der Lage sind, Kryptowährungstransaktionen zu entwirren, haben Hacker verschiedene Methoden entwickelt, um diese Aufgabe zu erschweren.

1. Bitcoin ist nicht die einzige Möglichkeit. Obwohl Bitcoin für Ransomware-Angreifer immer noch die bevorzugte Währung ist, sind andere Kryptowährungen auf mehr Datenschutz und Sicherheit ausgelegt. Währungen wie Monero und Tether sind mit einer Reihe von Datenschutzfunktionen ausgestattet, die die Rückverfolgung von Transaktionen erheblich erschweren. Einige Ransomware-Gruppen bieten Opfern, die bereit sind, in Monero statt in Bitcoin zu zahlen, sogar Rabatte an!  
2. Warum eine Blockchain verwenden, wenn Sie mehrere nutzen können? Die Verwendung einer Blockchain, egal wie sicher sie ist, schützt Sie möglicherweise nicht vor dem höchsten Maß an Kontrolle. Deshalb bevorzugen viele Kriminelle die Praxis des „Chain Hopping“. Dies ist der Fall, wenn Sie Ihren Bitcoin in Tether, Ihren Tether in Monero, Ihren Monero in Ethereum und so weiter umwandeln. Der Vorteil dieser Technik ist, dass Cross-Chain-Bridges nicht den gleichen AML-Vorschriften unterliegen wie Kryptowährungsbörsen, was bedeutet, dass die Nutzer anonym bleiben können.
3. Mischen und kombinieren Sie Kryptowährungen in einem Tumbler. Egal, wie oft Sie zwischen den Blockchains wechseln, das Geld, das Sie erhalten haben, ist immer noch als Ihres identifizierbar. Aber was wäre, wenn es jemand anderem gehörte? Ein Kryptowährungs-Tumbler ist ein kostenpflichtiger Dienst, der Geld zwischen den Besitzern austauscht und es praktisch unauffindbar macht.

Da Tumbler – auch als Mixer bekannt – die Herkunft von Lösegeldzahlungen so effektiv verschleiern, sind sie für Cyberkriminelle zu einer der beliebtesten und effektivsten Methoden geworden, um Kryptowährungen zu waschen.

Wie funktionieren Kryptowährungs-Tumbler?

Nehmen wir an, dass Alice, Bob und Charlie jeweils einen Betrag in Kryptowährung besitzen und jede/r von ihnen daran interessiert ist, sicherzustellen, dass niemand weiß, wie sie an diesen Betrag gekommen sind. Sie nutzen die Dienste eines Kryptowährungs-Tumblers.

Jeder Benutzer leert sein Kryptowährungs-Wallet in den Tumbler. Der Tumbler tauscht das Geld von Alice mit dem von Bob und dann das Geld von Bob mit dem von Charlie. Wenn Alice ihr Geld zurückbekommt – abzüglich einer kleinen Gebühr, die an den Tumbler geht – enthält die Währung, die sie erhält, nichts mehr von dem Geld, mit dem sie angefangen hat.

Im wirklichen Leben wird dieser Prozess auf Tausende von Benutzern skaliert und Hunderte Male wiederholt. Das macht es sehr schwierig, die Herkunft der gestohlenen Gelder zu ermitteln. Ohne den Kryptowährungs-Tumbler würden die Strafverfolgungsbehörden bei der Verfolgung der Transaktionskette Folgendes sehen.

1. Ein Opfer kauft Kryptowährung und überträgt sie in die Wallet eines anonymen Cyberkriminellen.
2. Die Kryptowährung findet ihren Weg durch einige Dutzend Wallets und zusätzliche Blockchains, die jeweils weiteren anonymen Benutzern gehören.
3. Die Strafverfolgungsbehörden verwenden DBSCAN, um diese Transaktionen von Anfang bis Ende zurückzuverfolgen und stellen fest, dass jede anonyme Wallet demselben Nutzer gehört.
4. Schließlich wird die Kryptowährung in die lokale Währung umgewandelt und auf ein Konto, das Alice gehört, eingezahlt.
5. Die Strafverfolgungsbehörden laden die Kryptowährungsbörse gemäß den internationalen Gesetzen zur Feststellung der Kundenidentität vor und identifizieren Alice, die wegen Cyberkriminalität angeklagt wird.

Egal, wie oft Alice ihr Geld überweist, es gibt immer noch einen Weg, der sie mit dem ursprünglichen Verbrechen verbindet. Aber mit dem Tumbler gibt es eine neue Stufe zwischen drei und vier. Zuvor waren die Kryptowährungstransaktionen mit einer einzigen großen Geldsumme verbunden. Nun wird die gesamte Summe aufgeteilt und an andere Benutzer überwiesen, die nichts mit dem ursprünglichen Verbrechen zu tun hatten, und Alices Lösegeld wird durch eine Währung legitimer Herkunft ersetzt. Die Spur endet mit dem Mixer und es kann keine Festnahme erfolgen. 

Wie arbeiten Strafverfolgungsbehörden gegen Geldwäscher?

Das System der Kryptowährungs-Mixer hat einen großen Schwachpunkt: Sofern Sie nicht versuchen, Geld illegal zu verschieben oder zu verstecken, gibt es kaum einen legitimen Grund, einen solchen zu verwenden. Aus diesem Grund haben die globalen Strafverfolgungsbehörden beschlossen, die Kryptowährungs-Tumbler selbst wegen Beihilfe zu Finanzverbrechen zu verfolgen. In den letzten Jahren gab es eine Reihe von öffentlichkeitswirksamen Fällen, darunter:

• Im Jahr 2023 wurde ein Unternehmen namens ChipMixer von Aufsichtsbehörden aus Deutschland und den USA geschlossen, die Bitcoin im Wert von rund 46 Millionen $ beschlagnahmten.
• Im April 2024 wurden der CEO und der CTO von Samouri Wallet angeklagt, Ransomware-Zahlungen im Wert von über 100 Millionen $ gewaschen zu haben.
• Im Dezember 2024 wurden die russischen Betreiber von Blender.io und Sinbad.io nach ihrer Festnahme wegen Geldwäsche angeklagt. 

Dies hat dazu geführt, dass Ransomware-Angreifer weniger Orte und Methoden haben, um ihre Lösegelder zu verstecken, was es schwieriger macht, diese Einnahmequelle zu verfolgen.

Wie Barracuda Sie unterstützen kann

Sobald Sie ein Lösegeld in Kryptowährung bezahlt haben, ist es weg. Auch wenn globale Strafverfolgungsbehörden den Kryptowährungs-Mixer abschalten, den Angreifer aufspüren und sein Vermögen beschlagnahmen, ist es sehr unwahrscheinlich, dass das von Ihnen ausgegebene Geld jemals wieder zu Ihnen zurückfließt.

Daher müssen Administratoren Best Practices zur Abwehr von Ransomware anwenden. Dies bedeutet die Implementierung von Schutzmaßnahmen wie Multifaktor-Authentifizierung (MFA), aktuellem Patch-Management und Mikrosegmentierung. Dienste wie Barracuda Managed XDR können die Bedrohungserkennung beschleunigen, Ihre Angriffsflächen schützen und Ihre Ressourcen erweitern. Vereinbaren Sie noch heute eine Demo und erfahren Sie, wie wir Ihre Umgebung schützen können.