Blockchain-Forensik
So erhalten Ransomware-Opfer ihr Geld zurück
Foto: Steve Heap - shutterstock.com
Nach dem Ransomware-Angriff auf die Colonial Pipeline in den USA zahlte das gleichnamige Betreiberunternehmen den Betrag von 75 Bitcoin als Lösegeld. Das Geld war allerdings nicht verloren: Beamte des FBI waren in der Lage, das Lösegeld zu verfolgen, als es von einer Wallet zur nächsten transferiert wurde. Nachdem knapp 64 der 75 Bitcoin an eine digitale Wallet übertragen worden waren, erlangten die Beamten der US-Bundesbehörde den Private Key und konnten damit den Großteil des Lösegelds wiederbeschaffen. Wie die Ermittler an den privaten Schlüssel für das Bitcoin Wallet kamen und wie genau die Rückzahlung des Lösegelds vonstattenging, darüber lässt das FBI keine Details nach außen dringen.
Für die Ransomware-Taskforce des US-Justizministerium war die Aktion in jedem Fall ein großer Erfolg. Wie nötig diese spezialisierte Einheit ist, zeigt ein Blick auf die nackten Fakten: Mehr als ein Drittel aller Organisationen weltweit war laut IDC innerhalb eines Jahres von Ransomware betroffen. Eine Studie des Sicherheitsanbieters Cybereason kommt zudem zum Ergebnis, dass zwei Drittel der Ransomware-Opfer über erhebliche Umsatzeinbußen berichten. Und wie die Blockchain-Spezialisten von Chainalysis ermittelt haben, beliefen sich die Kryptozahlungen im Zusammenhang mit Ransomware im Jahr 2021 auf mehr als 600 Millionen Dollar.
Grund genug, dass die (Rück-)Verfolgung von Blockchain-Transaktionen in den Fokus rückt, wenn es um Ermittlungen gegen Cyberkriminelle geht. Die Strafverfolgungsbehörden arbeiten häufig selbst mit entsprechend spezialisierten Analytics-Unternehmen zusammen, die entweder ausgewiesene Experten an Bord haben oder Softwaretools anbieten, die Blockchain-Rohdaten in Insights verwandeln. "Wir sind in der Lage, den Geldfluss auf eine Art und Weise zu verfolgen, die nie zuvor möglich war", meint Ari Redbord, Head of Legal and Government Affairs bei TRM Labs, das eine solche Software anbietet.
Die Auswertung der Blockchain-Rohdaten kann Ransomware-Betroffenen dabei helfen, Lösegelder ganz oder teilweise zurückzubekommen - ist aber auch in der Lage, andere kriminelle Aktivitäten wie Geldwäsche aufzudecken: "Oft erfordern die Ermittlungen wochenlange Arbeit, technisches Nischenwissen und Kreativität, aber es besteht definitiv eine Chance, mindestens 25 Prozent des Lösegeldes zurückzubekommen", stellt Paul Sibenik, Lead Case Manager bei der Blockchain-Investigation-Agentur CipherBlade, in Aussicht.
Blockchain-Forensik: Untersuchungsschritte
Blockchain-Ermittlungen variieren in ihrer Dauer erheblich - die Schritte die dabei unternommen werden, ähneln sich jedoch unabhängig von der Art der kriminellen Handlung.
Findet ein Angriff statt, verfügen die Ermittler über die Kryptowährungsadresse, an die eine Zahlung erfolgt ist. Dort bleibt das Geld in der Regel nicht lange und wird auf verschiedene Wallets aufgeteilt sowie von Bitcoin in andere Kryptowährungen getauscht. Einige Cybercrime-Banden beschäftigen auch Geldwäsche-Profis dafür. Dabei verschieben sie die Gelder nicht nur, um ihre Spuren zu verwischen, sondern auch, um Partner zu bezahlen. Jede dieser Transaktionen wird auf der jeweiligen Blockchain festgehalten: "Man sieht Transaktions-Hashes, Bitcoin- und andere Kryptowährungsadressen, aber es gibt keine echte Möglichkeit, aufzudecken, wie diese Adressen zusammenhängen", weiß Phil Larratt, UK Operations Manager von Chainalysis.
Zwar sind die Rohdaten auf dem Distributed Ledger für Jedermann öffentlich einsehbar - daraus jedoch konkrete Informationen abzuleiten, kann eine echte Herausforderung sein. Eine Möglichkeit das zu tun, besteht darin, Adressen zu gruppieren - in der Hoffnung, die Entität zu identifizieren, die sie kontrolliert. Das können etwa Einzelpersonen, Krypto-Börsen oder Ransomware-Gruppen sein. Einzelne Wallets können beispielsweise fünf oder sechs Adressen haben, während einige Blockchain Services wie etwa Börsen die Gruppierung von Millionen von Adressen ermöglichen können.
Diese Entität hinter einer Adressen-Gruppe aufzudecken, ist entscheidend - und Unternehmen im Bereich Blockchain Intelligence beziehungsweise Blockchain-Forensik haben Möglichkeiten, das zu bewerkstelligen. Sie fassen Informationen aus verschiedenen Quellen zusammen und nutzen dabei auch Daten abseits der Blockchain. Die erlangen sie beispielsweise über Recherchen in Dark-Web-Foren, Gerichtsdokumenten oder Social Media: "Bittet jemand auf Facebook um Gelder in Bitcoin, gibt es dazu auch eine Adresse", erklärt Redbord. "Diese wird festgehalten und kann im Einzelfall mit Cybercrime-Banden und anderen illegalen Strukturen in Verbindung gebracht werden. Solche Informationen sammeln und speichern wir für zukünftige Referenzen. Wir bauen eine riesige Blacklist mit Kryptowährungsadressen auf."
Dieser Prozess der Kategorisierung von Adressen läuft hinter den Kulissen ab. Ermittler, die entsprechende Blockchain Intelligence Software verwenden, geben einfach die Adresse ein und können dann den digitalen Geldfluss nachvollziehen. Eine wertvolle Zusatzinformation kann dabei zum Beispiel sein, ob weitere Zahlungen an diese Adresse gesendet wurden.
Cyberkriminelle verschieben illegal erlangte Gelder aus genannten Gründen, müssen die Kryptowährungen aber irgendwann in eine herkömmliche Währung tauschen. An diesem Punkt können die Strafverfolgungsbehörden - in einigen Fällen - eingreifen und Gelder beschlagnahmen. Auch, weil die meisten Kryptobörsen sich an Regeln und Gesetze halten, wie der Experte von TRM Labs erklärt: "Die Behörden können herausfinden, wem die Wallet-Adresse gehört oder wer mit dieser Adresse verbunden war, weil sie auf 'Know-your-Customer'-Informationen zugreifen können. Das ist ein wichtiger Schritt, den die Strafverfolgungsbehörden unternehmen können."
Es gibt jedoch auch Negativbeispiele unter den Kryptobörsen, wie Sibenik weiß: "Nicht alle Kryptobörsen halten sich an die Regeln. Einigen ist Geld wichtiger als das Richtige zu tun. Sie sind bereit, illegale Aktivitäten zu unterstützen oder zumindest zu dulden."
Blockchain-Analyse: Der Weg zur Lösegeld-Rückerstattung
In einigen Fällen können Unternehmen, die nach einer Ransomware-Attacke Lösegeld gezahlt haben, zumindest einen Teil ihres Geldes zurückerhalten. Die Chance dafür hängt von verschiedenen Parametern ab - etwa davon,
welche Zeitspanne zwischen Zahlung und Rückverfolgung liegt,
wie schnell die Cyberkriminellen die Kryptobeträge bewegen,
welche Blockchains sie dazu verwenden und
ob sie einen Mixing Service nutzen.
Bitcoin-Transaktionen nachzuverfolgen ist jedoch nach wie vor ein komplexes Unterfangen, das Experten vorbehalten sein sollte, meint Sibenik: "Das können Betroffene nicht selbst tun. Im Allgemeinen ist Incident Response für große Unternehmen schwierig." Sind die Strafverfolgungsbehörden beteiligt, steigen die Erfolgschancen tendenziell. Unternehmen im Bereich Blockchain Intelligence können lediglich Informationen bereitstellen, während die Behörden auf rechtliche Verfahren zurückgreifen können. Dennoch ist jeder Fall anders, und die Chancen, das Geld zumindest teilweise zurückzuerhalten, sind sehr unterschiedlich. Ransomware-Gruppen feilen ständig an ihren Fähigkeiten und haben sich zudem in den letzten Jahren vervielfacht: "Jede Gruppe hat ihre eigene Methode, um illegale Kryptoerträge zu waschen", weiß Larratt.
Der Chainalysis-Experte hofft jedoch, dass Kryptowährungen künftig auch stärker reguliert werden, was Cyberkriminalität möglicherweise eindämmen könnte. Da die Einführung neuer Regularien jedoch ein iterativer Prozess sei, bemühten sich Unternehmen wie sein eigenes, ihre Software so abzustimmen, dass sie Ermittler unter den aktuellen Bedingungen bestmöglich unterstützt: "Wir entwickeln ständig neue Techniken und Werkzeuge, um sicherzustellen, dass die Ermittler ihre Arbeit auf qualitativ hohem Niveau erledigen können. Kryptowährungen über verschiedene Adressen zu verschieben, unterscheidet sich nicht wirklich von den Geldwäschepraktiken von vor 15 oder 20 Jahren: Gelder wurden auf ein traditionelles Bankkonto überwiesen, anschließend ausgezahlt und dann auf ein anderes Bankkonto überwiesen, von dem es dann ins Ausland transferiert wurde", meint Larratt.
In Zukunft könnten mehr Unternehmen befähigt werden, zumindest einen Teil ihres Ransomware-Lösegeldes zurückzubekommen - ähnlich wie im Fall Colonial Pipeline, zeigt sich der Experte überzeugt: "Die Blockchain-Analyse ist eine wichtige, aber vielleicht bislang noch zu wenig genutzte Taktik, um kriminelle Aktivitäten zu untersuchen und zurückzuverfolgen." (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.