DarkSide-Hacker haben mehr als 90 Millionen Dollar in Bitcoin eingesammelt

Die Ransomware-Gruppe DarkSide, von der angenommen wird, dass sie hinter den Angriffen auf die Colonial-Pipeline steckt, hat mit 47 Opfern rund 90 Millionen US-Dollar in Bitcoin verdient.

Laut Tom Robinson, Mitbegründer und leitender Wissenschaftler des Cybersicherheitsunternehmens Elliptic, leisteten die Opfer Bitcoin-Lösegeldzahlungen in Höhe von knapp über 90 Millionen US-Dollar an DarkSide, die aus 47 verschiedenen Wallets stammten. Laut DarkTracer hat DarkSide-Ransomware 99 Organisationen infiziert, was darauf hindeutet, dass rund 47 % der Opfer ein Lösegeld gezahlt haben und die durchschnittliche Zahlung 1,9 Millionen $ betrug.

„Nach unserem Wissen umfasst diese Analyse alle an DarkSide geleisteten Zahlungen, es können jedoch noch weitere Transaktionen aufgedeckt werden, und die Zahlen hier sollten als niedrige Grenze betrachtet werden“, sagte Robinson.

Cyberkriminelle Banden wie DarkSide haben ein Ransomware-as-a-Service-Geschäftsmodell etabliert, bei dem sie die Malware entwickeln, aber anderen Hackern erlauben, ihre Opfer zu verletzen. DarkSide teilt dann den Erlös zwischen sich und ihren Partnern auf.

Im Fall von DarkSide nimmt der Entwickler Berichten zufolge 25 % für Lösegelder unter 500.000 $, aber diese Zahl sinkt auf 10 % für Lösegelder über 5 Millionen $.

Die Blockchain-Analyse macht die Aufteilung des Geldes deutlich, wobei die verschiedenen Anteile an getrennte Bitcoin-Geldbörsen gehen, die vom Partner und Entwickler kontrolliert werden.

Robinson sagte, der DarkSide-Entwickler habe Bitcoins im Wert von 15,5 Millionen US-Dollar (17 %) erhalten, wobei die restlichen 74,7 Millionen US-Dollar (83 %) an die verschiedenen Tochtergesellschaften gingen.

Weitere Analysen ermöglichten es der Firma zu sehen, wo die Kryptowährung ausgegeben oder getauscht wurde. Die meisten Gelder wurden an Kryptoanlagen-Börsen geschickt, wo sie sie gegen andere Kryptoanlagen oder Fiat-Währung tauschen können, sagte Robinson.

Robinson sagte, dass die meisten Krypto-Asset-Börsen die Vorschriften zur Bekämpfung der Geldwäsche (AML) einhalten, die Identität der Kunden überprüfen und verdächtige Aktivitäten wie Erlöse aus Ransomware melden.

„Einige Gerichtsbarkeiten setzen diese Vorschriften jedoch nicht durch, und an Börsen an diesen Orten wird ein Großteil der Erlöse aus DarkSide-Ransomware gesendet“, sagte Robinson.

Die Ransomware-Gruppe DarkSide, von der angenommen wird, dass sie ihren Sitz in Osteuropa oder Russland hat, hat sich kürzlich nach weiteren Ermittlungen der US-Strafverfolgungsbehörden aufgelöst. In einer E-Mail an die Partner von DarkSide heißt es, dass das Geschäft „aufgrund des Drucks der USA“ geschlossen werde.

Vielen kriminellen Banden wurde jedoch gesagt, dass sie sich auflösen, nur um Wochen oder Monate später unter einem neuen Namen wieder aufzutauchen.