Kryptomixer helfen Hackern, Ransomware-Zahlungen zu waschen

Cyberkriminelle wenden sich an Cryptomixing-Dienste, um die Erlöse aus Ransomware-Aktivitäten zu verbergen und ihre Verfolgung durch die Strafverfolgungsbehörden zu erschweren.

Das sagen Sicherheitsforscher des IT-Cybersicherheitsunternehmens Intel 471, das berichtet, dass Cryptomixing-Dienste, die Kryptowährungstransaktionen aus verschiedenen Quellen mischen, um mehr Privatsphäre zu gewährleisten, im Internet und im Dark Web verfügbar sind.

Obwohl dies nicht illegal ist – Kryptomixer werden als zusätzliche Datenschutzebene für Kryptowährungstransaktionen beworben – stellten die Forscher fest, dass diese Dienste in mehreren bekannten Foren für Cyberkriminalität gut etabliert waren.

„Alle Mixer hatten professionell aussehende Websites, die wahrscheinlich dazu dienten, ihren Betrieb legitimer erscheinen zu lassen und ein breiteres Kundenspektrum anzuziehen“, sagte Intel 471.

„Keiner der Anbieter bewarb seine Rolle bei der Geldwäsche, sondern schlug stattdessen vor, dass seine Websites Unternehmen dienen, die Kryptowährungen verwenden, und Einzelpersonen, die am Schutz ihrer Privatsphäre interessiert sind.“

Aus der Sicht von Cyberkriminellen funktionieren diese Kryptomixer, indem sie eine Summe von Kryptowährung, typischerweise Bitcoin, an eine Wallet-Adresse senden, die dem Mixing-Service-Betreiber gehört. Diese Summe fügt sich in einen Pool aus eigenen Bitcoins des Dienstanbieters sowie Kryptowährungen von anderen Cyberkriminellen, die den Dienst nutzen. Die Kryptowährung des ursprünglichen Bedrohungsakteurs schließt sich der „Kette“ an, und der Bedrohungsakteur erhält eine eindeutige Referenznummer, die als „Mixing Code“ für eingezahlte Gelder bekannt ist.

„Dieser Kodex stellt sicher, dass der Schauspieler nicht seine eigenen ‚schmutzigen‘ Gelder zurückbekommt, die theoretisch mit seinen Operationen in Verbindung gebracht werden könnten. Der Bedrohungsakteur erhält dann die gleiche Summe an Bitcoins aus dem Pool des Mixers, die mit dem proprietären Algorithmus des Dienstes durcheinander gebracht wurden, abzüglich einer Servicegebühr“, sagten die Forscher.

Dies kann von Kriminellen anonymisiert werden, indem sie diese „saubere“ Summe von Bitcoins an zahlreiche Wallet-Adressen senden, um die Spur der illegalen Gelder weiter zu verschleiern.

„Dies macht es für die Strafverfolgungsbehörden schwieriger, die ursprüngliche „schmutzige“ Kryptowährung mit dem Bedrohungsakteur in Verbindung zu bringen“, fügten die Forscher hinzu.

Es wurde festgestellt, dass Cyberkriminelle vier beliebte Cryptomixing-Dienste verwenden: Absolutio, AudiA6, Blender und Mix-btc. Diese Kryptomixer können entweder eine Pauschalgebühr oder eine „dynamische“ Gebühr erheben, die laut Intel 471 höchstwahrscheinlich durchgeführt wird, um „Ermittlungen zu illegalen Kryptowährungsgeldern zu erschweren, indem sie den gewaschenen Betrag in verschiedenen Phasen des Prozesses ändern, wodurch es schwieriger wird, ihn zu binden die Gelder für ein bestimmtes Verbrechen oder eine Person“.

Die Forscher sagten, dass ein gründliches Verständnis der operativen Grundlagen dieser Mischdienste der Schlüssel zum Verständnis ist, wie Kriminelle das Geld waschen, das sie mit ihren Verbrechen verdienen.

„Es ist wichtig zu verstehen, wie alle Facetten einer Ransomware-Operation funktionieren, wenn die Zivilgesellschaft die durch diese Systeme verursachten Verluste stoppen soll“, sagten sie.