Preisfrage: Kann man eine Milliarde Dollar mit Ransomware verdienen?
Bitcoin hat nicht nur die Wirtschaftlichkeit der Internetkriminalität verändert, indem die Gauner auf ein verschlüsseltes, fast anonymes Zahlungssystem, autonom von jeder Zentralbank, zurückgreifen können. Bitcoin beeinflusst auch die Möglichkeiten für die Forscher, zu verfolgen, wie viel Geld die Kriminellen wirklich verdienen.
„Bitcoin basiert auf Blockchain und Blockchain ist ein öffentliches Buch von Transaktionen. Somit sind alle Bitcoin-Transaktionen öffentlich“, erklärt Mikko Hypponen, Forschungschef von F-Secure. „Wir wissen zwar nicht, wer wer ist. Aber wir können sehen, dass Gelder bewegt werden und wir können die Beträge sehen.“
Ransomware ist Malware, die Dateien verschlüsselt und eine Zahlung für deren Freigabe fordert. Jedes Opfer von Ransomware erhält ein einzigartiges Wallet, also einen digitalen Geldbeutel, um diesen mit Geld zu füllen. Nach erfolgter Zahlung bewegen einige Ransomware-Banden die Bitcoin zu einem zentralen Wallet.
„Wir haben einige dieser Wallets beobachtet“, sagt Mikko. „Und wir haben Bitcoin im Wert von Millionen und Abermillionen, also eine Menge Geld, gesehen.“
Die Gauner dabei zu beobachten, wie sie so viel Geld machen, steuerfrei, gab ihm zu denken: „Ich begann mich zu fragen, ob dies tatsächlich cyberkriminelle Unicorns sind.“
Cyberkriminelle Unicorns?
Die Definition eines Unicorn-Unternehmens ist, dass es privat geführt, nicht börsennotiert ist und auf mehr als eine Milliarde US-Dollar geschätzt wird. Die typischsten Beispiele sind Uber, Airbnb und Spotify. Also große Unternehmen, nur ohne Anleger, Overhead und Aufsichtsrat. (Wobei der Betrug so profitabel ist, dass einige Banden sogar einen Kundenservice haben, der mit kleinen Startups konkurrieren könnte.)
„Können wir dieses Modell für den Vergleich mit cyberkriminellen Banden verwenden?“, fragte sich Mikko. „Können wir wahrscheinlich nicht.“
Es ist einfach zu aufwändig, sich das Geld auszahlen zu lassen.
Investoren, die auf Uber setzen, werden buchstäblich angebettelt von Menschen, die Anteile an der Firma kaufen wollen. Ransomware-Banden hingegen, müssen sich immer wieder neue Wege überlegen, um Bitcoin in Bargeld zu verwandeln.
„Sie kaufen Prepaid-Karten und dann verkaufen sie diese Karten auf Ebay und Craigslist“, sagt er. „Viele dieser Banden nutzen auch Online-Casinos, um das Geld zu waschen.“
Aber auch das ist nicht so einfach, auch wenn das Ziel einfach nur ist, am Online-Spieltisch das Geld an ein anderes Mitglied der Bande zu verlieren.
„Wenn Sie große Mengen an Geld verlieren, werden Sie gesperrt. So begannen die Banden Bots zu nutzen, die realistisch spielen und dennoch verlieren, aber eben nicht so offensichtlich.“
Die Strafverfolgung ist sich der äußerst verlockenden Ökonomie dieser Bedrohung bewusst. Im Jahr 2015 gingen beim Internet Crime Complaint Center des FBI 2.453 Hinweise ein, identifiziert als Ransomware-Transfers mit Verlusten von über 1,6 Millionen US-Dollar.“
Im Jahr 2016 verging kaum ein Monat, ohne dass ein hochkarätiger Fall publik wurde. So zahlte das Hollywood Presbyterian Medical Center 40 Bitcoin, ungefähr 17,000 US-Dollar, um seine Dateien wiederherzustellen. Und das sind nur die Fälle, die ans Tageslicht kommen.
Der Betrug ist so effektiv, dass es schien, das FBI würde den Opfern empfehlen, das Lösegeld tatsächlich zu zahlen. Aber es stellte sich heraus, dass die Antwort des FBI eigentlich stärker nuanciert war.
„Die offizielle Antwort ist, dass das FBI keinen Rat gibt, ob Menschen zahlen sollten oder nicht“, schreibt Sean Sullivan, Sicherheitsberater von F-Secure. „Aber wenn die Opfer keine Vorsichtsmaßnahmen getroffen haben, dann ist die Zahlung die einzige verbleibende Alternative, um Dateien wiederherzustellen.“
Welche Art von Vorsichtsmaßnahmen? Für Mikko liegt die Antwort auf der Hand.
„Backups. Wenn Sie davon betroffen sind, stellen sie einfach ihre Sicherung von gestern wieder her und können weiterarbeiten. Umständlicher könnte es sein, wenn nicht nur ein Arbeitsplatz, sondern Ihr gesamtes Netzwerk betroffen ist. Aber natürlich sollte man immer gute, aktuelle Offline-Backups haben. Und „offline“ ist hier der Schlüssel!“
Ebenso offensichtlich ist, dass zu wenige Menschen vorbereitet sind, wenn sie Opfer von Ransomware werden.
Wenn es keine größeren Störungen des Bitcoin-Markts gibt, prognostiziert F-Secure, dass uns diese Bedrohung wahrscheinlich noch länger erhalten bleiben wird. So wird in der Unterwelt an noch gezielteren Taktiken gefeilt, um den Opfern noch größere Summen zu entlocken.
Sollten Sie in die unglückliche Situation geraten, dass Ihre Dateien als Geiseln gehalten werden, denken Sie immer daran, dass Sie es mit jemandem zu tun haben, der Internetkriminalität als Geschäft betrachtet.