Ransomware-Erpresser setzen auf Kryptowährungen – Moderne Backups erschweren Cyberkriminellen ihr Geschäftsmodell

Cyberkriminelle ändern ihre Taktiken immer wieder, auch aufgrund des Fahndungsdrucks von Strafverfolgungsbehörden – Kryptowährungen gehören zu Ransomware-Erpressern wie Skimasken zu Bankräubern, sagt Chainalysis

Der World Backup Day am 31. März soll in Erinnerung rufen, wie wichtig Backups sind in Zeiten zunehmender Cyberbedrohungen. Unternehmen, die im Falle eines Ransomware-Angriffs keine funktionierenden Backups haben, müssen ihre Daten freikaufen. Um ihre Opfer abzukassieren, ohne Spuren verräterischer Finanztransaktionen zu hinterlassen, fordern die Erpresser heutzutage die Bezahlung mit Kryptowährungen, wie Bitcoin oder Monero.

Salih Altuntas, Director of Investigations CEMEA bei Chainalysis, erklärt den Zusammenhang zwischen Backups, Ransomware und dem Missbrauch von Kryptowährungen.

Um dieser Kriminalitätsform nachhaltig zu begegnen, müssen einerseits IT-Systeme potentieller Opfer vor Angriffen gehärtet werden. Andererseits müssen die Finanzierungs- und Geldwäsche-Netzwerke der Täter auf eine Weise beschädigt werden, dass sich die Erpressung finanziell nicht mehr lohnt. Letzteres bedarf der Analyse inkriminierter Kryptowährungen und die Verfolgung der Geldwäscheströme, um die Gelder im besten Fall den Opfern zurückführen . Dabei ist es wichtig, ein aktuelles Lagebild vor Augen zu haben, um die neuesten Verschleierungstechniken der Cyberkriminellen besser zu verstehen.

Kryptowährungen spielen weiterhin eine zentrale Rolle bei Erpressungen

Neueste Erkenntnisse zum Thema Ransomware und Kryptowährungen liefert ein aktueller Report von Chainalysis. So erlebte die Ransomware-Landschaft im Jahr 2024 erhebliche Veränderungen, wobei Kryptowährungen weiterhin eine zentrale Rolle bei Erpressungen spielen. Das Gesamtvolumen der Lösegeldzahlungen ging im Jahresvergleich um etwa 35 Prozent zurück, was insbesondere auf verstärkte Strafverfolgungsmaßnahmen, eine verbesserte internationale Zusammenarbeit und eine zunehmende Zahlungsverweigerung der Opfer zurückzuführen ist.

Als Reaktion darauf änderten viele Angreifer ihre Taktik. So entstanden neue Ransomware-Stämme aus geleaktem oder gekauftem Code, was auf eine anpassungsfähigere und agilere Bedrohungslandschaft hindeutet. Ransomware-Operationen sind auch schneller geworden, wobei Verhandlungen oft innerhalb von Stunden nach der Datenexfiltration beginnen. Die Angreifer reichen von nationalstaatlich initiierten Akteuren bis hin zu technisch weniger versierten Nutzern von Ransomware-as-a-Service (RaaS), Einzeltätern und Erpressergruppen, die Datendiebstahl begehen. Ein Beispiel für Letzteres ist der Fall von Snowflake, ein Cloud-Serviceprovider, der erpresst und bestohlen wurde.

Insgesamt Zahlungsrückgang, aber Zunahme am oberen Ende

Im Jahr 2024 erhielten Ransomware-Angreifer Zahlungen in Höhe von etwa 813,55 Millionen US-Dollar von Opfern, was immerhin einem Rückgang von 35 Prozent gegenüber dem Rekordjahr 2023 mit 1,25 Milliarden US-Dollar entspricht. Laut 2024 Crypto Crime Mid-year Update Part 1 von Chainalysis gab es im ersten Halbjahr 2024 auch einige außergewöhnlich hohe Zahlungen, wie z. B. die rekordverdächtigen 75 Millionen US-Dollar, die an Dark Angels gingen.

Eine genauere Betrachtung der wichtigsten Ransomware-Arten liefert wertvolle Einblicke in die Entwicklung einschlägiger Gruppen. So war Akira, die seit März 2023 mehr als 250 Unternehmen ins Visier genommen hat, laut Sophos die einzige Ransomware-Variante unter den Top 10 im ersten Halbjahr 2024, die ihre Bemühungen im zweiten Halbjahr 2024 verstärkt hat. LockBit, das Anfang 2024 von der britischen National Crime Agency (NCA) und dem FBI sowie weiteren internationalen Strafverfolgungsbehörden Anfang 2024 gestört wurde, verzeichnete laut Angaben von Chainalysis im zweiten Halbjahr einen Rückgang der Zahlungen um etwa 79 Prozent. Dies stellt die Wirksamkeit der internationalen Zusammenarbeit der Strafverfolgungsbehörden unter Beweis.

Im Jahr 2024 gab es drei Klassen von Lösegeldakteuren. Einige, wie Phobos, erhielten laut Chainalysis durchschnittliche Zahlungen, die sich auf weniger als 500 bis 1.000 US-Dollar belaufen. Es folgt eine weitere Gruppe im Bereich von 10.000 US-Dollar und eine dritte mit Zahlungen von über 100.000 US-Dollar, mitunter bis zu einer Million US-Dollar Lösegeld oder mehr. Zu beobachten ist eine Zunahme am oberen Ende des Spektrums, also proportional mehr Lösegeldzahlungen im Millionenbereich.

Reinliche Erpresser – der Weg der Geldwäscheströme

Das Verständnis der Geldwäschemethoden bietet wichtige Einblicke in das Verhalten von Ransomware-Akteuren und ermöglicht es Strafverfolgungsbehörden, effizienter zu reagieren und anhand von wiederkehrenden Mustern Aktivitäten vorherzusehen.

So fließen die erpressten Summen derzeit hauptsächlich über zentralisierte Börsen (CEXs), persönliche Wallets zur Geldaufbewahrung sowie Bridges, um zu versuchen, Geldbewegungen zu verschleiern. Chainalysis stellte hierbei einen erheblichen Rückgang bei der Nutzung von Mixing-Diensten im vergangenen Jahr fest. Dies ist ein Beleg für die störende Wirkung von Sanktionen und Strafverfolgungsmaßnahmen, wie sie beispielsweise gegen Chipmixer, Tornado Cash und Sinbad verhängt wurden. Ransomware-Akteure setzen dafür zunehmend auf Cross-Chain-Bridges, um ihr Off-Ramping zu erleichtern. Im Gegensatz dazu sind CEXs weiterhin eine tragende Säule des Ransomware-Off-Ramping.

Laut Chainalysis ist erwähnenswert, dass sich erhebliche Geldmengen in privaten Wallets befinden. Seltsamerweise verzichten Ransomware-Betreiber mehr denn je auf tatsächliche Auszahlungen. Angesichts der unkalkulierbaren Maßnahmen der Strafverfolgungsbehörden macht sich offensichtlich eine erhöhte Vorsicht und Unsicherheit bemerkbar, wie und wo die kriminellen Akteure ihre Gelder am besten verschwinden lassen können. Der Rückgang der Nutzung von No-KYC-Börsen seit Oktober 2024 könnte Chainalysis zufolge auf die Benennung der in Russland ansässigen Börse Cryptex und die Beschlagnahmung von 47 russischsprachigen No-KYC-Krypto-Börsen durch das BKA im September 2024 zurückzuführen sein. Der Zeitpunkt dieser Durchsetzungsmaßnahmen fällt mit dem Zeitraum zusammen, in dem die Zuflüsse von Ransomware zu No-KYC-Börsen zurückgingen.

Ransomware wird weiterhin ein Problem bleiben

Auch wenn die Strafverfolgungsbehörden erste Erfolge erzielen, werden in diesem Jahr viele weitere Unternehmen den Erpressern ausgeliefert sein oder gar erneut zum Opfer fallen. Der weltweite Tag des Backups ist daher auch ein Aufruf, die Resilienz zu erhöhen, um gar nicht erst erpressbar zu sein.

---

Bild/Quelle: https://depositphotos.com/de/home.html