Cyber-Kriminalität
Kryptowährungen als Brandbeschleuniger
Welche Rolle spielen Kryptowährungen für die moderne Cyberkriminalität, vor allem im Bereich Ransomware?
Save to Folio
von Richard Werner, Business Consultant
Das Aufkommen der Kryptowährungen vor über zehn Jahren war die Grundlage für den heutigen Angriffs-Boom und die neue Dimension der Cyberkriminalität. Auf den ersten Blick scheint dies eine gewagte These. Aber das Geld gehört zu den frühesten Errungenschaften der Menschheit und ist für die Entstehung der Zivilisation mit entscheidend. Erst Geld und der damit assoziierte Wert erlaubten eine Spezialisierung, und die Stabilität einer Währung ist das Fundament einer gesunden Wirtschaft. Geld war aber auch schon immer ein Hauptantrieb für Kriminalität -- mehr als 95% aller Cyber-Attacken sind finanziell motiviert (die restlichen Prozente teilen sich politische Angriffe wie auch „Just for Fun“-Aktionen). Doch erst als der Bitcoin 2009 an Wert gewann, stiegen auch die Erträge der Kriminellen enorm und Dienstleistungen im Untergrund gewannen an Popularität.
Natürlich gab es Cyberkriminalität auch vor dem Bitcoin, und natürlich wurden auch damals schon Dienstleistungen angeboten und bezahlt. Dies war aber für beide Seiten – Käufer und Anbieter - immer mit erheblichen Risiken verbunden So waren gängige Zahlungsmethoden beispielsweise gestohlene Kreditkarten, also wurde „heiße Ware gegen heiße Ware“ getauscht, oder Direktbezahldienste, bei denen der Käufer dem Verkäufer, einem „Verbrecher“, vertrauen musste und immer das Risiko trug, selbst ins Visier von polizeilichen Ermittlern zu geraten. Aber selbst bei erfolgreicher Transaktion blieb das Entdeckungsrisiko auf beiden Seiten hoch. Die erwirtschafteten – pardon – gestohlenen „Erträge“ mussten an Ermittlungsbehörden und bankeigenen Erkennungsalgorithmen vorbeigeschleust werden. Auch wenn es dafür Optionen gab (z.B. Money Mules), konnten so nur verhältnismäßig geringe Beträge ausgetauscht werden, um es der Polizei die Entdeckung zu erschweren.
Mit Ukash kam das erste elektronische Zahlungsmittel auf, und gilt als Vorgänger der Kryptowährung. Der so genannte „Ukash-Trojaner“, auch „BKA-Trojaner“ genannt, ist ein bekanntes Beispiel für eine Ransomware, die auf Ukash als Zahlungsmittel setzte.
Aber erst mit dem Bitcoin, der 2009 entwickelt wurde, und ab ca. 2012 einen attraktiven Wert erlangte, änderte sich diese Situation massiv -- bis hin zu Angeboten von Ransomware as a Service und anderen Dienstleistungen.
Der Untergrund boomt
Tatsächlich fängt der Aufschwung der Untergrundökonomie ungefähr in den Jahren 2012/2013 an. Die ersten, deutlichen Anzeichen davon waren 2015 mit der ersten massiven Ransomware-Welle zu erkennen. 2021 nun gab es eine massive Zunahme der Cyberattacken, die sich sowohl quantitativ als auch qualitativ gesteigert hatten – und einen Trend der letzten Jahre fortsetzen. Denkwürdig waren allein in diesem Jahr Angriffe wie die mit dem Backdoor Sunburst, der Angriff auf die Colonia Pipeline und Kaseya, wobei die zugrunde liegenden Cybervorfälle in ihrer Dimension jeweils einzigartig (bisher) waren. Zum Teil hat die Pandemie zu dieser Entwicklung beigetragen, doch haben alle Schemata, Techniken und vor allem die Organisation hinter diesen Angriffen schon vorher existiert.
Die größte Veränderung im Vergleich zur Zeit vor dem Bitcoin & Co. war das verstärkte Auftreten von „as a Service“-Angeboten. Cyberkriminelle Gangs verkauften ihr Wissen und ihre Tools an immer mehr zahlende Kunden. Heute gibt es „Ransomware as a Service“, „Hacking as a Service“, „Access as a Service“, “Übersetzungs-Services”, “Callcenter-Services”, Treuhändler, Rechtsanwälte und vieles mehr, was im direkten Bezug zu Cyberkriminellen Aktivitäten steht.
Und möglich wurde diese Entwicklung, weil es mit dem Bitcoin“ die erste Währung außerhalb einer staatlichen Kontrolle gab. Sie hat getan, was jede Währung tut, sie hat einen neuen Wirtschaftsraum geschaffen.
Spezialisierung der Protagonisten
In jeder fortschrittlichen Wertschöpfungskette, gibt es Menschen, bzw. Unternehmen, die bestimmte Dinge besser können als andere --so auch in der Cyberkriminalität, wie die obige Aufzählung der im Untergrund vorhandenen Service-Angebote zeigt. Die Phasen eines modernen Cyberangriffs, etwa mit dem Ziel der digitalen Erpressung, zeigen die ungefähre Aufteilung. Zunächst geht es darum, einen Zugang zu einem Opfer zu erhalten. Das Netzwerk und die Macher der Emotet-Gruppe gehörten hier zu den Top-Spezialisten. Mit ausgefeiltem Social Engineering, wie gestohlener E-Mail Kommunikation, gelang es der Gruppe, sogar an gut ausgebildeten Fachleute vorbei zu kommen.
Die gestohlenen Zugangsdaten werden von verschiedenen Gruppen häufig auch verkauft, entweder für Bitcoins oder eine Art „Gewinnbeteiligung“. Die Käufer sind Gruppen, die sich darauf spezialisierten, sich innerhalb eines Opfersystems auszubreiten, dort Daten zu stehlen und dessen Infrastruktur weitestgehend lahm zu legen. Die einzelnen Täter spezialisieren sich dabei auf Unternehmen verschiedener Größenordnungen.
Aber damit noch nicht genug, denn um an das Geld eines Opfers zu kommen, ist der Kontakt notwendig. Es geht es um mögliche Verhandlungen über die Lösegeldsumme oder auch um den Beweis, dass man in der Lage ist, die Daten wieder zu entschlüsseln. Die hier erforderlichen Skills beinhalten Sprachtalent und Verhandlungsgeschick. Auch dafür gibt es Spezialisten.
Dienstleistungen von Spezialisten sind teuer, und auch hier ist der Bitcoin der Wegbereiter, denn die Währung erlaubt es, anonym Dienstleistungen zu handeln. Staatliche Kontrolle oder Bankenaufsicht fehlen. Jeder kann mit jedem –weltweit verhandeln. Eine Situation, die in der Geschichte der Menschheit einmalig ist (bisher).
Große Summen
Und noch eine andere Auswirkung hat die Cyberwährung. Vor dem Bitcoin beschränkten sich die einzelnen Taten in der Regel auf kleinere Summen im zwei- bis fünfstelligen Bereich. Der Grund: Je größer dieSumme, desto einfacher ihre Nachvollziehbarkeit für Banken und letztlich für die Polizei. Auch dieses „Problem“ beseitigte der Bitcoin. Die Währung erlaubt den schnellen Transfer auf anonymisierbare Konten und somit die ungestörte Übergabe von Millionenbeträgen.
Es ist deshalb nicht verwunderlich, dass gerade der Tatbestand „Erpressung“ in der Internetkriminalität massiv zugenommen hat. Ebenso wenig verwundert es, dass die Täter immer mehr und größere Ziele anvisieren. Dabei drängt sich aber der Gedanke auf, ob es wirklich noch um Geld geht, oder nicht schon darum, der „berüchtigste“ aller Gangster zu sein. So zählte z.B. die ukrainische Polizei bei Stürmung der Emotet-Infrastruktur vor laufender Kamera die sichergestellten Goldbarren und Barmittel der Kriminellen, die dort neben alten Festplatten und Kabeln gelagert wurden:
Und speziell der Angriff auf die Colonial Pipeline in den USA schreckte neben den Ermittlungsbehörden auch die Regierung auf. Vielleicht war das der berühmte Tropfen, der nun das Fass zum Überlaufen bringt und den gesamten Cyberuntergrund gefährdet. Wir können es nur hoffen.
Fazit
Aus Sicht der Cybersecurity ist klar: Solange Bitcoin oder andere Kryptowährungen einen messbaren Wert haben und keinerlei staatlicher Kontrolle unterliegen, wird die aktuelle Situation der gezielten Cyber-Angriffen und Erpressung weiter gehen. Die Spezialisierung der Angreifer trifft aktuell auf weitestgehend überforderte Verteidiger, die oft - mit veralteten Strategien und Techniken ausgestattet - „hoffen“, nicht getroffen zu werden.
Zudem werden die weltweit in die Schlagzeilen geratenen Taten weitere Kriminelle dazu motivieren, ihr Glück im Cyberuntergrund zu versuchen (ähnlich dem Goldrausch des 19. Jahrhunderts). Dieses anhaltende Wachstum in der Kriminalität werden auch große polizeiliche Ermittlungserfolge wie der Emotet Takedown nicht unterbrechen.
Die Auswirkungen von Bitcoin & Co auf den kriminellen Untergrund machen auch vielen Banken Sorgen, und einzelne Länder haben sich dazu entschlossen, gegen die Kryptowährungen vorzugehen. Allerdings sind dabei politische Spannungen vor allem in westlichen Demokratien zu erwarten, weshalb es durchaus fraglich ist, ob sich in naher Zukunft etwas ändern wird.
Unternehmen tun deshalb gut daran, die Lage ernst zu nehmen und von einer weiteren Zuspitzung der Situation auszugehen. Die politischen Drohgebärden im Zusammenhang mit dem Colonial Pipeline-Hack werden vielleicht zu einer kleinen Atempause führen und könnten vor allem großen Konzerne und Unternehmen in ähnlich kritischen Bereichen unterstützen. Für das Gros der Industrie wird es aber wenig Hilfe geben. Insbesondere mittelständische Firmen mit vergleichsweise hohen Werten werden sich der Aufmerksamkeit von bösartigen Hackern ausgesetzt sehen.
Über Gegenmaßnahmen haben wir bereits mehrfach geschrieben. Durch die Spezialisierung steht zu erwarten, dass es Angreifer schaffen werden, an Verteidigungsmaßnahmen vorbei zu kommen. Das wichtigste ist deshalb, das Management der eigenen Security in den Griff zu bekommen und einen Notfallplan bereit zu haben. Eine Erweiterung um automatisierbare Detection & Response-Funktionen – also das Erkennen von erfolgreichen Angreifern und entsprechenden Gegenmaßnahmen – sollte ebenfalls baldmöglichst auf dem Plan stehen. Trend Micro und seine Fachhandelpartner stehen Ihnen gerne mit Rat und Tat zur Seite.