Ransomware macht 5,2 Milliarden Dollar an Bitcoin-Transaktionen aus

Mehr als 5 Milliarden Dollar an Bitcoin-Transaktionen werden mit den zehn wichtigsten Ransomware-Varianten in Verbindung gebracht, wie aus einem am Freitag veröffentlichten Bericht des US-Finanzministeriums hervorgeht.

Das Financial Crimes Enforcement Network (FinCen) und das Office of Foreign Assets Control (OFAC) des US-Finanzministeriums haben zwei Berichte veröffentlicht, die zeigen, wie lukrativ Cyberkriminalität im Zusammenhang mit Ransomware für die dahinter stehenden Banden geworden ist. Teile des Berichts beruhen auf Verdachtsmeldungen (Suspicious Activity Reports, SAR), die Finanzdienstleister bei der US-Regierung eingereicht haben.

Laut FinCen belief sich der Gesamtwert der verdächtigen Aktivitäten, die in den ersten sechs Monaten des Jahres 2021 im Zusammenhang mit Ransomware gemeldet wurden, auf 590 Millionen US-Dollar und übertraf damit die 416 Millionen US-Dollar, die für das gesamte Jahr 2020 gemeldet wurden.

„Die FinCEN-Analyse der Ransomware-bezogenen SARs, die in der ersten Hälfte des Jahres 2021 eingereicht wurden, zeigt, dass Ransomware eine zunehmende Bedrohung für den US-Finanzsektor, Unternehmen und die Öffentlichkeit darstellt. Die Zahl der monatlich eingereichten Ransomware-bezogenen SARs ist rapide angestiegen, mit 635 eingereichten SARs und 458 gemeldeten Transaktionen zwischen dem 1. Januar 2021 und dem 30. Juni 2021, was einem Anstieg von 30 Prozent gegenüber den insgesamt 487 SARs entspricht, die im gesamten Kalenderjahr 2020 eingereicht wurden“, so der Bericht.

Durch die Analyse von 177 eindeutigen konvertierbaren Wallet-Adressen für virtuelle Währungen, die für Ransomware-bezogene Zahlungen im Zusammenhang mit den 10 am häufigsten gemeldeten Ransomware-Varianten in SARs während des Überprüfungszeitraums verwendet wurden, fand das Finanzministerium etwa 5,2 Milliarden US-Dollar an ausgehenden Bitcoin-Transaktionen, die potenziell mit Ransomware-Zahlungen verbunden sind.

„Laut den Daten, die aus den Ransomware-bezogenen Verdachtsmeldungen generiert wurden, betrug der durchschnittliche monatliche Gesamtbetrag der verdächtigen Ransomware-Transaktionen 66,4 Millionen Dollar und der Medianwert 45 Millionen Dollar. FinCEN identifizierte Bitcoin als die häufigste Ransomware-bezogene Zahlungsmethode bei den gemeldeten Transaktionen“, so der Bericht weiter.

FinCen merkte an, dass die Zahlen in US-Dollar auf dem Wert von Bitcoin zum Zeitpunkt der Transaktion basieren und fügte hinzu, dass der Datensatz „aus 2.184 Verdachtsmeldungen bestand, die 1,56 Milliarden Dollar an verdächtigen Aktivitäten widerspiegeln, die zwischen dem 1. Januar 2011 und dem 30. Juni 2021 eingereicht wurden.“

Der Bericht sagt zwar nicht, welche Ransomware-Varianten dabei hervortraten, aber er listet die am häufigsten gemeldeten Varianten auf, nämlich REvil/Sodinokibi, Conti, DarkSide, Avaddon und Phobos. Laut FinCen wurden insgesamt 68 verschiedene Ransomware-Varianten gefunden.

Der Ransomware-Experte und Mitglied des Computer-Notfallteams von Recorded Future, Allan Liska, erklärte gegenüber ZDNet, dass es überraschend sei, dass Phobos unter den Top fünf sei.

„Phobos tendiert dazu, unter dem Radar zu verschwinden und bekommt nicht viel Aufmerksamkeit. Es muss eindeutig mehr Aufmerksamkeit darauf gelegt werden, damit Unternehmen sich besser dagegen verteidigen können“, sagte Liska.

Er fügte hinzu, dass es interessant war, zu sehen, dass FinCen Ransomware-Transaktionen seit 2011 verfolgt, was bedeutet, dass sie viel mehr Erfahrung mit der Verfolgung von Kryptowährungstransaktionen haben, als Ransomware-Gruppen erkennen.

„Ich denke, wir alle haben vermutet, dass Ransomware-Angriffe in diesem Jahr zunehmen, es ist schön, dies bestätigt zu sehen“, sagte er. „Schließlich hat die FinCEN allein in den ersten sechs Monaten des Jahres 68 Ransomware-Varianten identifiziert, die in SAR veröffentlicht wurden. Auch hier glaube ich, dass die meisten Menschen nicht wissen, wie vielfältig das Ransomware-Ökosystem ist.“

Die Berichte kommen einen Tag, nachdem US-Beamte und Regierungen aus mehr als 30 Ländern einen zweitägigen Gipfel zum Thema Ransomware und deren Bekämpfung beendet haben. Die Länder versprachen weitere Zusammenarbeit und erwähnten ausdrücklich die Notwendigkeit, Kryptowährungsplattformen zur Verantwortung zu ziehen.

Zeitgleich mit der Veröffentlichung des Berichts gab die FinCen weitere Leitlinien heraus, die der virtuellen Währungsindustrie effektiv mit Strafen drohen, wenn sie sanktionierten Personen oder Organisationen die weitere Nutzung ihrer Plattformen erlauben.

„Die OFAC-Anforderungen zur Einhaltung von Sanktionen gelten für die virtuelle Währungsindustrie in gleicher Weise wie für traditionelle Finanzinstitute, und es gibt zivil- und strafrechtliche Strafen für die Nichteinhaltung“, sagte FinCen am Freitag.

Der FinCen-Bericht stellte auch fest, dass Ransomware-Gruppen zunehmend Kryptowährungen wie Monero verwenden, die bei denjenigen beliebt sind, die Anonymität suchen und die Verwendung von Wallets mehr als einmal vermieden haben.

Mischdienste sind in der Ransomware-Branche ebenfalls weit verbreitet, um Verfolgungsexperten zu stören, und dezentrale Börsen werden genutzt, um Ransomware-Zahlungen in andere Kryptowährungen umzuwandeln.

Der Bericht erwähnt auch das „Chain Hopping“, eine Praxis, die Ransomware-Akteure anwenden, um eine Krypto-Münze mindestens einmal in eine andere Variante umzuwandeln, bevor sie die Gelder zu einem anderen Dienst oder einer anderen Plattform transferieren.