Ransomware-Entwicklung:Wie Cyberkriminelle es auf Kryptowährungen abgesehen haben

Im Mai 2023 wurde die Stadtverwaltung von Dallas durch einen Ransomware-Angriff schwer erschüttert. Ransomware-Angriffe werden so genannt, weil die dahinter stehenden Hacker wichtige Daten verschlüsseln und ein Lösegeld verlangen, um die Informationen zu entschlüsseln.

Der Angriff in Dallas führte zu einem Stillstand der Anhörungen, Gerichtsverfahren und der Tätigkeit der Geschworenen und schließlich zur Schließung des Dallas Municipal Court Building. Dies hatte auch indirekte Auswirkungen auf umfassendere Polizeiaktivitäten, da die knappen Ressourcen die Fähigkeit beeinträchtigten, beispielsweise Sommer-Jugendprogramme durchzuführen. Die Kriminellen drohten damit, sensible Daten zu veröffentlichen, darunter persönliche Informationen, Gerichtsverfahren, Gefangenenidentitäten und Regierungsdokumente.

Man könnte sich vorstellen, dass ein Angriff auf eine Stadtregierung und die Polizei, der weitreichende und langwierige Störungen verursacht, zu den Schlagzeilen gehören würde. Aber Ransomware-Angriffe sind mittlerweile so häufig und routinemäßig, dass die meisten kaum Beachtung finden. Eine bemerkenswerte Ausnahme ereignete sich im Mai und Juni 2023, als Hacker eine Schwachstelle in der Dateiübertragungs-App Moveit ausnutzten, die zu Datendiebstahl bei Hunderten von Organisationen auf der ganzen Welt führte. Dieser Angriff sorgte für Schlagzeilen, vielleicht wegen der prominenten Opfer, zu denen Berichten zufolge British Airways, die BBC und die Drogeriekette Boots gehörten.

Laut einer aktuellen Umfrage haben sich die Zahlungen für Ransomware im vergangenen Jahr auf 1,5 Millionen US-Dollar (1,2 Millionen Pfund) fast verdoppelt, wobei die Organisationen mit den höchsten Einnahmen die Angreifer am häufigsten bezahlen. Sophos, ein britisches Cybersicherheitsunternehmen, stellte fest, dass die durchschnittliche Ransomware-Zahlung von 812.000 US-Dollar im Vorjahr gestiegen ist. Die durchschnittliche Zahlung britischer Organisationen lag im Jahr 2023 mit 2,1 Millionen US-Dollar sogar über dem weltweiten Durchschnitt.

Unterdessen hat das National Cyber Security Center (NCSC) im Jahr 2022 neue Leitlinien herausgegeben, in denen Organisationen aufgefordert werden, ihre Abwehrmaßnahmen zu verstärken, da sie befürchten, dass es im Zusammenhang mit dem Konflikt in der Ukraine zu weiteren staatlich geförderten Cyberangriffen kommen könnte. Es folgt eine Reihe von Cyberangriffen in der Ukraine, an denen vermutlich Russland beteiligt war, was Moskau bestreitet.

Dieser Artikel ist Teil von Conversation Insights
Das Insights-Team erstellt Langform-Journalismus, der auf interdisziplinärer Forschung basiert. Das Team arbeitet mit Wissenschaftlern unterschiedlicher Herkunft zusammen, die an Projekten zur Bewältigung gesellschaftlicher und wissenschaftlicher Herausforderungen beteiligt sind.

Tatsächlich vergeht keine Woche ohne Angriffe auf Regierungen, Schulen, Krankenhäuser, Unternehmen und Wohltätigkeitsorganisationen auf der ganzen Welt. Diese Angriffe verursachen erhebliche finanzielle und gesellschaftliche Kosten. Sie können sowohl kleine Unternehmen als auch große Konzerne betreffen und für die Beteiligten besonders verheerend sein.

Ransomware gilt mittlerweile allgemein als große Bedrohung und Herausforderung für die moderne Gesellschaft.

Weitere Artikel aus The Conversation, gesprochen von Noa, können Sie hier anhören.

Doch vor zehn Jahren war es nur eine theoretische Möglichkeit und eine Nischenbedrohung. Die Art und Weise, wie es sich schnell entwickelt hat, die Kriminalität anheizt und unermesslichen Schaden anrichtet, sollte Anlass zu großer Sorge geben. Das Ransomware-„Geschäftsmodell“ ist immer ausgefeilter geworden, beispielsweise durch Fortschritte bei Malware-Angriffsvektoren, Verhandlungsstrategien und der Struktur krimineller Unternehmen selbst.

Es besteht die volle Erwartung, dass Kriminelle ihre Strategien weiterhin anpassen und noch viele Jahre lang großen Schaden anrichten werden. Deshalb ist es wichtig, dass wir die Ransomware-Bedrohung untersuchen und diesen Taktiken zuvorkommen, um die langfristige Bedrohung zu mindern – und genau das tut unser Forschungsteam.

Prognose der weltweiten Schadenskosten durch Ransomware – Quelle:Cyber Security Ventures

Alpesh Bhudia, CC BY-ND

Seit vielen Jahren versuchen wir in unserer Forschung, dieser wachsenden Bedrohung zuvorzukommen, indem wir neue Strategien erforschen, mit denen Ransomware-Kriminelle ihre Opfer erpressen können. Ziel ist es, vorzuwarnen und dem Spiel einen Schritt voraus zu sein, ohne Einzelheiten zu identifizieren, die von Kriminellen ausgenutzt werden könnten. In unserer neuesten Studie, die einem Peer-Review unterzogen wurde und im Rahmen der International Conference on Availability, Reliability and Security (ARES) veröffentlicht wird, haben wir eine neuartige Bedrohung identifiziert, die Schwachstellen in Kryptowährungen ausnutzt.

Was ist Ransomware?

Ransomware kann in verschiedenen Kontexten subtil unterschiedliche Bedeutungen haben. Im Jahr 1996 beschrieben Adam Young und Mordechai „Moti“ Yung von der Columbia University die Grundform eines Ransomware-Angriffs wie folgt:

Kriminelle durchbrechen die Cybersicherheitsmaßnahmen des Opfers (entweder durch Taktiken wie Phishing-E-Mails oder den Einsatz eines Insiders/untreuen Mitarbeiters). Sobald die Kriminellen die Abwehrmaßnahmen des Opfers durchbrochen haben, setzen sie die Ransomware ein. Die Hauptfunktion besteht darin, die Dateien des Opfers mit einem privaten Schlüssel (der als eine lange Zeichenfolge betrachtet werden kann) zu verschlüsseln, um das Opfer aus seinen Dateien auszuschließen. Die dritte Phase eines Angriffs beginnt nun damit, dass der Kriminelle ein Lösegeld für den privaten Schlüssel verlangt.

Die einfache Realität ist, dass viele Opfer das Lösegeld zahlen, wobei das Lösegeld möglicherweise in Millionenhöhe liegt.

Anhand dieser grundlegenden Charakterisierung von Ransomware ist es möglich, verschiedene Angriffsarten zu unterscheiden. Im einen Extremfall gibt es „Low-Level“-Angriffe, bei denen Dateien nicht verschlüsselt sind oder Kriminelle nicht versuchen, Lösegeld zu erpressen. Im anderen Extremfall unternehmen Angreifer jedoch erhebliche Anstrengungen, um die Störung zu maximieren und ein Lösegeld zu erpressen.

Der Ransomware-Angriff WannaCry im Mai 2017 ist ein solches Beispiel. Bei dem Angriff, der mit der nordkoreanischen Regierung in Verbindung steht, wurde kein wirklicher Versuch unternommen, Lösegeld von den Opfern zu erpressen. Dennoch führte es zu weitreichenden Störungen auf der ganzen Welt, auch im britischen NHS, wobei einige Organisationen, die sich mit der Modellierung von Cybersicherheitsrisiken befassen, sogar von globalen wirtschaftlichen Verlusten in Milliardenhöhe ausgehen.

In diesem Fall ist es schwierig, das Motiv zu erkennen, aber im Allgemeinen können politische Absichten oder einfache Fehler seitens der Angreifer zum Mangel an kohärenter Wertschöpfung durch Erpressung beitragen.

Unsere Forschung konzentriert sich auf das zweite Extrem von Ransomware-Angriffen, bei denen Kriminelle versuchen, Geld von ihren Opfern zu erpressen. Dies schließt ein politisches Motiv nicht aus. Tatsächlich gibt es Hinweise auf Verbindungen zwischen großen Ransomware-Gruppen und dem russischen Staat. Wir können erkennen, inwieweit Ransomware-Angriffe durch finanziellen Gewinn motiviert sind, indem wir den in die Verhandlungen investierten Aufwand, die Bereitschaft, die Zahlung des Lösegelds zu unterstützen oder zu erleichtern, und das Vorhandensein von Geldwäschediensten beobachten. Durch die Investition in Tools und Dienste, die die Zahlung des Lösegelds und dessen Umrechnung in Fiat-Währung erleichtern, signalisieren die Angreifer ihre finanziellen Motive.

Die Auswirkungen von Angriffen

Wie der Angriff auf die Stadtverwaltung von Dallas zeigt, können die finanziellen und sozialen Auswirkungen von Ransomware-Angriffen vielfältig und schwerwiegend sein.

Hochwirksame Ransomware-Angriffe, wie der, der im Mai 2021 auf Colonial Oil abzielte und eine große US-Kraftstoffpipeline lahmlegte, sind offensichtlich gefährlich für die Kontinuität lebenswichtiger Dienste.

Im Januar 2023 kam es zu einem Ransomware-Angriff auf die Royal Mail im Vereinigten Königreich, der zur Einstellung internationaler Zustellungen führte. Es dauerte über einen Monat, bis sich das Serviceniveau wieder normalisierte. Dieser Angriff hätte erhebliche direkte Auswirkungen auf die Einnahmen und den Ruf der Royal Mail gehabt. Aber was vielleicht noch wichtiger ist:Es wirkte sich auf alle kleinen Unternehmen und Menschen aus, die darauf angewiesen sind.

Im Mai 2021 wurde der irische NHS von einem Ransomware-Angriff heimgesucht. Dies wirkte sich auf alle Aspekte der Patientenversorgung aus und führte zu weit verbreiteten Terminabsagen. Taoiseach Micheál Martin sagte:„Es ist ein schockierender Angriff auf das Gesundheitswesen, vor allem aber auf die Patienten und die irische Öffentlichkeit.“ Berichten zufolge seien auch sensible Daten durchgesickert. Die finanziellen Auswirkungen des Angriffs könnten bis zu 100 Millionen Euro betragen. Dies berücksichtigt jedoch nicht die gesundheitlichen und psychologischen Auswirkungen auf die von der Störung betroffenen Patienten und Ärzte.

Neben Gesundheitsdiensten war auch Bildung ein vorrangiges Ziel. Im Januar 2023 kam es beispielsweise zu einem Angriff auf eine Schule in Guilford, Großbritannien, bei dem die Kriminellen damit drohten, sensible Daten zu veröffentlichen, darunter Schutzberichte und Informationen über gefährdete Kinder.

Angriffe werden auch zeitlich so geplant, dass die Störung maximiert wird. Beispielsweise führte ein Angriff im Juni 2023 auf eine Schule in Dorchester, Großbritannien, dazu, dass die Schule während der Hauptprüfungszeit weder E-Mails nutzen noch auf Dienste zugreifen konnte. Dies kann tiefgreifende Auswirkungen auf das Wohlbefinden und den Bildungserfolg von Kindern haben.

Diese Beispiele erheben keinen Anspruch auf Vollständigkeit. Viele Angriffe zielen beispielsweise direkt auf Unternehmen und Wohltätigkeitsorganisationen ab, die zu klein sind, um Aufmerksamkeit zu erregen. Die Auswirkungen auf ein kleines Unternehmen im Hinblick auf Geschäftsunterbrechungen, Reputationsverlust und die psychologischen Kosten, die mit den Folgen eines Angriffs einhergehen, können verheerend sein. Eine Umfrage aus dem Jahr 2021 ergab beispielsweise, dass 34 % der britischen Unternehmen, die einen Ransomware-Angriff erlitten hatten, anschließend geschlossen wurden. Und viele der Unternehmen, die ihren Betrieb fortführten, mussten dennoch Personal entlassen.

Es begann mit Disketten

Die Ursprünge von Ransomware gehen normalerweise auf den AIDS- oder PC-Cyborg-Trojaner-Virus in den 1980er Jahren zurück. In diesem Fall würden Opfer, die eine Diskette in ihren Computer eingelegt hatten, feststellen, dass ihre Dateien anschließend verschlüsselt wurden und eine Zahlung verlangt wurde. Disketten wurden an Teilnehmer und Interessenten bestimmter Konferenzen verteilt, die dann versuchten, auf die Diskette zuzugreifen, um an einer Umfrage teilzunehmen – anstatt sich mit dem Trojaner zu infizieren. Dateien auf den betroffenen Computern wurden mit einem Schlüssel verschlüsselt, der lokal auf jedem Zielcomputer gespeichert war. Mit diesem Schlüssel hätte ein Opfer prinzipiell wieder Zugriff auf seine Dateien erhalten können. Das Opfer wusste jedoch möglicherweise nicht, dass es dazu in der Lage war, da technische Kenntnisse der Kryptographie bei den meisten PC-Benutzern auch heute noch nicht üblich sind.

Schließlich führten die Strafverfolgungsbehörden die Disketten auf einen in Harvard unterrichteten Evolutionsbiologen namens Joseph Popp zurück, der zu dieser Zeit AIDS-Forschung durchführte. Er wurde verhaftet und wegen mehrfacher Erpressung angeklagt. Einige behaupten, er sei der Erfinder der Ransomware. Niemand weiß genau, was Popp dazu veranlasst hat, das zu tun, was er getan hat.

Die Bildschirmmeldung nach der Aktivierung der AIDS-Trojaner-Ransomware. Wikipedia

Bei vielen frühen Versionen von Ransomware handelte es sich um recht einfache kryptografische Systeme, bei denen es zu verschiedenen Problemen kam, wie einfach es war, die Schlüsselinformationen zu finden, die der Kriminelle vor dem Opfer verbergen wollte. Dies ist einer der Gründe, warum Ransomware mit dem CryptoLocker-Angriff in den Jahren 2013 und 2014 wirklich erwachsen wurde.

CryptoLocker war der erste technisch einwandfreie Ransomware-Angriffsvirus, der massenhaft verbreitet wurde. Tausende Opfer sahen, wie ihre Dateien durch Ransomware verschlüsselt wurden, die nicht zurückentwickelt werden konnte. Die zur Verschlüsselung verwendeten privaten Schlüssel befanden sich im Besitz des Angreifers und die Opfer konnten ohne sie den Zugriff auf ihre Dateien nicht wiederherstellen. Es wurden Lösegelder in Höhe von etwa 300 bis 600 US-Dollar gefordert, Schätzungen zufolge kamen die Kriminellen mit etwa 3 Millionen US-Dollar davon. Cryptolocker wurde schließlich im Jahr 2014 nach einer Operation, an der mehrere internationale Strafverfolgungsbehörden beteiligt waren, geschlossen.

CryptoLocker war ausschlaggebend für den Nachweis des Konzepts, dass Kriminelle mit Ransomware große Geldbeträge verdienen können. Anschließend kam es zu einer Explosion neuer Varianten und neuer Typen. Auch bei den Strategien der Kriminellen gab es eine deutliche Weiterentwicklung.

Standard und doppelte Erpressung

Eine wichtige Entwicklung war das Aufkommen von Ransomware-as-a-Service. Dies ist ein Begriff für Märkte im Dark Web, über die Kriminelle Ransomware „von der Stange“ erhalten und nutzen können, ohne dass dafür fortgeschrittene Computerkenntnisse erforderlich sind, während die Ransomware-Anbieter einen Teil der Gewinne mitnehmen.

Untersuchungen haben gezeigt, dass das Dark Web der „unregulierte Wilde Westen des Internets“ und ein sicherer Hafen für Kriminelle zur Kommunikation und zum Austausch illegaler Waren und Dienstleistungen ist. Es ist leicht zugänglich und mithilfe von Anonymisierungstechnologie und digitalen Währungen floriert dort eine globale Schattenwirtschaft. Laut der Agentur der Europäischen Union für Strafverfolgung wurden dort allein in den ersten neun Monaten des Jahres 2019 schätzungsweise 1 Milliarde US-Dollar ausgegeben.

Mit Ransomware as a Service (Raas) wurde die Eintrittsbarriere für angehende Cyberkriminelle sowohl hinsichtlich der Kosten als auch der Fähigkeiten gesenkt.

Beim Raas-Modell wird das Fachwissen von Anbietern bereitgestellt, die die Malware entwickeln, während die Angreifer selbst möglicherweise relativ unerfahren sind. Dies führt auch zu einer Abschottung des Risikos – die Festnahme von Cyberkriminellen, die Ransomware einsetzen, stellt nicht mehr eine Bedrohung für die gesamte Lieferkette dar, sodass Angriffe anderer Gruppen fortgesetzt werden können.

Wir haben auch eine Abkehr von Massen-Phishing-Angriffen wie CryptoLocker, die mehr als 250.000 Systeme erreichten, hin zu gezielteren Angriffen beobachtet. Das hat dazu geführt, dass der Fokus zunehmend auf Organisationen liegt, die über die Einnahmen verfügen, um hohe Lösegelder zu zahlen. Multinationale Organisationen, Anwaltskanzleien, Schulen, Universitäten, Krankenhäuser und Gesundheitsdienstleister sind zu Hauptzielen geworden, ebenso wie viele Klein- und Kleinstunternehmen und Wohltätigkeitsorganisationen.

Eine neuere Entwicklung bei Ransomware wie Netwalker, REvil/Sodinokibi ist die Bedrohung durch doppelte Erpressung. Dabei verschlüsseln die Kriminellen nicht nur Dateien, sondern schleusen durch das Kopieren der Dateien auch Daten aus. Es besteht dann die Gefahr, dass potenziell sensible und wichtige Informationen durchsickern oder veröffentlicht werden.

Ein Beispiel hierfür ereignete sich im Jahr 2020, als eines der größten Softwareunternehmen, die Software AG, von einer Ransomware mit doppelter Erpressung namens Clop angegriffen wurde. Berichten zufolge hatten die Angreifer eine außergewöhnlich hohe Lösegeldzahlung in Höhe von 20 Millionen US-Dollar (ca. 15,7 Millionen Pfund) gefordert, die Software AG weigerte sich jedoch zu zahlen. Dies führte dazu, dass Angreifer vertrauliche Unternehmensdaten im Dark Web veröffentlichten. Dadurch haben Kriminelle zwei Hebel:Sie können ein Lösegeld für den privaten Schlüssel zum Entschlüsseln von Dateien verlangen und sie können ein Lösegeld erpressen, um die Veröffentlichung sensibler Daten zu verhindern.

Doppelte Erpressung verändert das Geschäftsmodell von Ransomware auf interessante Weise. Insbesondere bei Standard-Ransomware besteht für ein Opfer ein relativ einfacher Anreiz, ein Lösegeld für den Zugriff auf den privaten Schlüssel zu zahlen, wenn dies die Entschlüsselung der Dateien ermöglichen würde, und es kann auf andere Weise nicht auf die Dateien zugreifen. Das Opfer muss „nur“ darauf vertrauen, dass der Cyberkriminelle ihm den Schlüssel gibt und dass der Schlüssel funktioniert.

„Ehre“ unter Dieben?

Bei der Datenexfiltration hingegen ist nicht klar, was das Opfer als Gegenleistung für die Zahlung des Lösegelds erhält. Die Kriminellen verfügen weiterhin über die sensiblen Daten und könnten diese jederzeit veröffentlichen. Sie könnten tatsächlich ein späteres Lösegeld verlangen, um die Dateien nicht zu veröffentlichen.

Damit die Datenexfiltration eine tragfähige Geschäftsstrategie ist, müssen sich die Kriminellen einen glaubwürdigen Ruf aufbauen und Lösegeldzahlungen „anerkennen“. Dies hat wohl zu einem normalisierten Ransomware-Ökosystem geführt.

Beispielsweise handelt es sich bei Lösegeldvermittlern um private Auftragnehmer, die in manchen Fällen im Rahmen einer Cyber-Versicherungsvereinbarung dazu verpflichtet sind, Fachwissen für die Bewältigung von Krisensituationen im Zusammenhang mit Ransomware bereitzustellen. Auf Anweisung werden sie ausgehandelte Lösegeldzahlungen ermöglichen. Innerhalb dieses Ökosystems haben sich einige Ransomware-Kriminelle den Ruf erworben, Daten nicht zu veröffentlichen (oder zumindest die Veröffentlichung zu verzögern), wenn ein Lösegeld gezahlt wird.

Generell ist die Verschlüsselung, Entschlüsselung oder Exfiltration von Dateien für Kriminelle in der Regel eine schwierige und kostspielige Aufgabe. Es ist viel einfacher, die Dateien zu löschen und dann zu behaupten, sie seien verschlüsselt oder exfiltriert worden, und ein Lösegeld zu verlangen. Wenn die Opfer jedoch vermuten, dass sie den Entschlüsselungsschlüssel oder die verschlüsselten Daten nicht zurückbekommen, zahlen sie das Lösegeld nicht. Und diejenigen, die ein Lösegeld zahlen und keine Gegenleistung erhalten, können diese Tatsache offenbaren. Dies dürfte sich auf den „Ruf“ des Angreifers und die Wahrscheinlichkeit zukünftiger Lösegeldzahlungen auswirken. Einfach ausgedrückt:Es lohnt sich, in der Welt der Erpressungen und Lösegelderpressungen „fair“ zu sein.

In weniger als zehn Jahren haben wir also gesehen, wie sich die Ransomware-Bedrohung enorm weiterentwickelt hat, vom relativ kleinen CryptoLocker zu einem Multimillionen-Dollar-Geschäft, an dem organisierte kriminelle Banden und ausgefeilte Strategien beteiligt sind. Ab 2020 scheinen die Ransomware-Vorfälle und die daraus resultierenden Verluste um eine weitere Größenordnung zugenommen zu haben. Ransomware ist zu groß geworden, um ignoriert zu werden, und bereitet Regierungen und Strafverfolgungsbehörden nun große Sorgen.

Krypto-Erpressungsdrohungen

So verheerend Ransomware auch geworden ist, wird sich die Bedrohung unweigerlich weiterentwickeln, da Kriminelle neue Erpressungstechniken entwickeln. Wie bereits erwähnt, war ein zentrales Thema unserer gemeinsamen Forschung in den letzten zehn Jahren der Versuch, den wahrscheinlichen Strategien, die Kriminelle anwenden können, zuvorzukommen, um der Konkurrenz einen Schritt voraus zu sein.

Unsere Forschung konzentriert sich nun auf die nächste Generation von Ransomware, zu der unserer Meinung nach Varianten gehören werden, die sich auf Kryptowährungen und die darin verwendeten „Konsensmechanismen“ konzentrieren.

Ein Konsensmechanismus ist jede Methode (normalerweise algorithmisch), die verwendet wird, um Einigkeit, Vertrauen und Sicherheit in einem dezentralen Computernetzwerk zu erreichen.

Das nächste Ziel könnte Krypto sein. Shutterstock/Sonntagmorgen

Insbesondere nutzen Kryptowährungen zunehmend einen sogenannten „Proof-of-Stake“-Konsensmechanismus, bei dem Anleger erhebliche Währungsbeträge einsetzen, um Kryptotransaktionen zu validieren. Diese Anteile sind anfällig für Erpressung durch Ransomware-Kriminelle.

Kryptowährungen basieren auf einer dezentralen Blockchain, die eine transparente Aufzeichnung aller Transaktionen liefert, die mit dieser Währung stattgefunden haben. Die Blockchain wird von einem Peer-to-Peer-Netzwerk verwaltet und nicht von einer zentralen Behörde (wie bei herkömmlichen Währungen). Im Prinzip sind die in der Blockchain enthaltenen Transaktionsdatensätze unveränderlich, überprüfbar und sicher im Netzwerk verteilt, sodass Benutzer das volle Eigentum an den Transaktionsdaten haben und diese einsehen können. Diese Eigenschaften der Blockchain basieren auf einem sicheren und nicht manipulierbaren „Konsensmechanismus“, bei dem die unabhängigen Knoten im Netzwerk „genehmigen“ oder „vereinbaren“, welche Transaktionen zur Blockchain hinzugefügt werden sollen.

Bisher basieren Kryptowährungen wie Bitcoin auf einem sogenannten „Proof-of-Work“-Konsensmechanismus, bei dem die Autorisierung von Transaktionen die Lösung komplexer mathematischer Probleme (der Arbeit) beinhaltet. Auf lange Sicht ist dieser Ansatz nicht nachhaltig, da er zu Doppelarbeit und einem vermeidbaren großen Energieverbrauch führt.

Die Alternative, die nun Realität wird, ist ein „Proof-of-Stake“-Konsensmechanismus. Hier werden Transaktionen von Validatoren genehmigt, die Geld eingesetzt haben und für die Validierung von Transaktionen finanziell belohnt werden. Die Rolle ineffizienter Arbeit wird durch eine finanzielle Beteiligung ersetzt. Dies löst zwar das Energieproblem, bedeutet aber, dass bei der Validierung von Kryptotransaktionen große Summen eingesetzt werden.

Ethereum

Die Existenz dieses eingesetzten Geldes stellt eine neuartige Bedrohung für einige Proof-of-Stake-Kryptowährungen dar. Wir haben unsere Aufmerksamkeit auf Ethereum gerichtet, eine dezentrale Kryptowährung, die ein Peer-to-Peer-Netzwerk zur sicheren Ausführung und Überprüfung von Anwendungscode aufbaut, einem sogenannten Smart Contract.

Ethereum basiert auf dem Ether (ETH)-Token, der es Benutzern ermöglicht, mithilfe dieser intelligenten Verträge Transaktionen untereinander durchzuführen. Das Ethereum-Projekt wurde 2013 von Vitalik Buterin mitbegründet, um Mängel bei Bitcoin zu überwinden. Am 15. September 2022 hat The Merge das Ethereum-Netzwerk von Proof-of-Work auf Proof-of-Stake umgestellt und es damit zu einer der ersten prominenten Proof-of-Stake-Kryptowährungen gemacht.

Der Proof-of-Stake-Konsensmechanismus in Ethereum basiert auf „Validatoren“, um Transaktionen zu genehmigen. Um einen Validator einzurichten, ist ein Mindesteinsatz von 32ETH erforderlich, der derzeit bei etwa 60.000 US-Dollar (ca. 43.000 £) liegt. Validatoren können dann eine finanzielle Rendite auf ihren Einsatz erzielen, indem sie einen Validator gemäß den Ethereum-Regeln betreiben. Zum Zeitpunkt des Verfassens dieses Artikels gibt es rund 850.000 Validatoren.

Viele Hoffnungen werden auf die „Pfahl“-Lösung der Validierung gesetzt – aber Hacker werden sicherlich prüfen, wie sie das System infiltrieren können.

In unserem von der Ethereum Foundation finanzierten Projekt haben wir Möglichkeiten identifiziert, wie Ransomware-Gruppen den neuen Proof-of-Stake-Mechanismus zur Erpressung nutzen können.

Schneiden

Wir haben herausgefunden, dass Angreifer Validatoren durch einen Prozess namens „Slashing“ ausnutzen können. Während Prüfer für die Einhaltung der Regeln Belohnungen erhalten, gibt es für Prüfer, die nachweislich böswillig handeln, finanzielle Strafen. Das grundlegende Ziel von Strafen besteht darin, die Ausnutzung der dezentralen Blockchain zu verhindern.

Es gibt zwei Arten von Strafen, von denen die härteste die Hiebstrafe ist. Zu Slashing kommt es bei Aktionen, die nicht zufällig passieren sollten und die Blockchain gefährden könnten, wie z. B. dem Vorschlag, widersprüchliche Blöcke zur Blockchain hinzuzufügen oder dem Versuch, den Verlauf zu ändern.

Die Kürzungsstrafen sind relativ hoch, da der Prüfer einen erheblichen Teil seines Einsatzes, mindestens 1ETH, verliert. Tatsächlich könnte der Prüfer im extremsten Fall seinen gesamten Einsatz (32ETH) verlieren. Der Validator wird ebenfalls zum Beenden gezwungen und fungiert nicht länger als Validator. Kurz gesagt:Wenn ein Validator gekürzt wird, hat das große finanzielle Konsequenzen.

Um Aktionen auszuführen, werden Validatoren eindeutige Signaturschlüssel zugewiesen, die im Wesentlichen dem Netzwerk beweisen, wer sie sind. Angenommen, ein Krimineller hätte sich den Signaturschlüssel beschafft? Dann könnten sie das Opfer erpressen, ein Lösegeld zu zahlen.

Flussdiagramm, das zeigt, wie kompliziert es wird, wenn es zu einem Erpressungsangriff gegen Proof-of-Stake-Validatoren wie Ethereum kommt

Alpesh Bhudia, CC BY-ND

Ein „intelligenter Vertrag“

Das Opfer zögert möglicherweise, das Lösegeld zu zahlen, es sei denn, es gibt eine Garantie dafür, dass die Kriminellen ihr Geld nicht nehmen und den Schlüssel nicht zurückgeben/herausgeben. Denn was soll die Kriminellen davon abhalten, ein weiteres Lösegeld zu fordern?

Eine Lösung, die wir gefunden haben – die auf die Tatsache zurückgeht, dass Ransomware tatsächlich zu einer Art Geschäft geworden ist, das von Kriminellen betrieben wird, die nachweisen wollen, dass sie einen „ehrlichen“ Ruf haben – ist ein intelligenter Vertrag.

Dieser automatisierte Vertrag kann so geschrieben werden, dass der Prozess nur funktioniert, wenn beide Seiten ihren Teil der Abmachung „einhalten“. Das Opfer könnte also das Lösegeld zahlen und darauf vertrauen, dass dadurch die direkte Erpressungsgefahr beseitigt wird. Dies ist durch Ethereum möglich, da alle erforderlichen Schritte auf der Blockchain öffentlich einsehbar sind – die Einzahlung, das Zeichen zum Ausstieg, das Fehlen von Kürzungen und die Rückgabe des Einsatzes.

Funktionell handelt es sich bei diesen Smart Contracts um ein Treuhandsystem, in dem Geld aufbewahrt werden kann, bis vorher vereinbarte Bedingungen erfüllt sind. Wenn die Kriminellen beispielsweise einen Slashing-Vorgang erzwingen, bevor der Validator vollständig beendet ist, stellt der Vertrag sicher, dass der Lösegeldbetrag an das Opfer zurückgezahlt wird. Solche Verträge sind jedoch anfällig für Missbrauch und es gibt keine Garantie dafür, dass einem von einem Angreifer erstellten Vertrag vertraut werden kann. Es besteht die Möglichkeit, dass der Vertrag auf vollständig vertrauenswürdige Weise automatisiert wird, aber wir haben noch kein solches Verhalten und die Entstehung solcher Systeme beobachtet.

Die Bedrohung durch die Absteckpools

Diese Art der „Pay-and-Exit“-Strategie ist für Kriminelle eine effektive Möglichkeit, Opfer zu erpressen, wenn sie an die Signaturschlüssel des Validators gelangen können.

Wie viel Schaden würde ein Ransomware-Angriff wie dieser Ethereum anrichten? Wenn ein einzelner Validator kompromittiert wird, liegt die drastische Strafe – und damit die maximale Lösegeldforderung – im Bereich von 1ETH, was etwa 1.800 US-Dollar (ca. 1.400 £) entspricht. Um größere Geldbeträge zu erbeuten, müssen die Kriminellen daher Organisationen oder Absteckpools ins Visier nehmen, die für die Verwaltung einer großen Anzahl von Validatoren verantwortlich sind.

Bedenken Sie, dass angesichts der hohen Einstiegskosten für Einzelanleger die meisten Validierungen auf Ethereum in „Einsatzpools“ durchgeführt werden, in denen mehrere Anleger gemeinsam Geld einsetzen können.

Um dies ins rechte Licht zu rücken:Lido ist mit rund 127.000 Validatoren und 18 % des Gesamteinsatzes der größte Einsatzpool in Ethereum. Coinbase ist mit 40.000 Validatoren und 6 % des Gesamtanteils der zweitgrößte. Insgesamt gibt es 21 Absteckpools, die mehr als 1.000 Validatoren betreiben. Jeder dieser Absteckpools ist für Einsätze in zweistelliger Millionenhöhe verantwortlich und daher könnten realisierbare Lösegeldforderungen auch in Millionenhöhe liegen.

Konsensmechanismen zum Nachweis des Einsatzes sind noch zu jung, als dass wir wissen könnten, ob die Erpressung von Einsatzpools eine aktive Realität werden wird. Aber die allgemeine Lehre aus der Entwicklung von Ransomware ist, dass Kriminelle dazu neigen, Strategien zu bevorzugen, die Anreize für Zahlungen schaffen und ihre illegalen Gewinne steigern.

Der einfachste Weg für Investoren und Stake-Pool-Betreiber, die von uns identifizierte Erpressungsgefahr einzudämmen, besteht darin, ihre Signaturschlüssel zu schützen. Wenn die Kriminellen keinen Zugriff auf die Signaturschlüssel haben, besteht keine Gefahr. Wenn die Kriminellen nur auf einige der Schlüssel zugreifen können (bei Betreibern mit mehreren Validatoren), ist die Bedrohung möglicherweise nicht lukrativ.

Daher müssen Absteckpools Maßnahmen ergreifen, um die Signaturschlüssel zu sichern. Dies würde eine Reihe von Maßnahmen erfordern, darunter:Aufteilung der Validatoren, sodass ein Verstoß nur eine kleine Teilmenge betrifft; Erhöhen Sie die Cybersicherheit, um Eindringlinge zu verhindern, und robuste interne Prozesse, um die interne Bedrohung durch die Preisgabe von Signaturschlüsseln durch einen Mitarbeiter zu begrenzen.

Was passiert, wenn Hacker Zugriff auf geheime Schlüssel erhalten? Shutterstock/Andrii Yalanskyi

Der Stake-Pool-Markt für Kryptowährungen wie Ethereum ist wettbewerbsintensiv. Es gibt viele Wettpools, die alle relativ ähnliche Dienstleistungen anbieten und über den Preis konkurrieren, um Investoren anzulocken. Diese Wettbewerbskräfte und die Notwendigkeit, Kosten zu senken, können zu relativ laxen Sicherheitsmaßnahmen führen. Einige Absteckpools könnten sich daher als relativ leichtes Ziel für Kriminelle erweisen.

Letztendlich kann dies nur durch Regulierung und größeres Bewusstsein gelöst werden und indem Investoren in Stake-Pools ein hohes Maß an Sicherheit zum Schutz ihrer Anteile fordern.

Leider deutet die Geschichte der Ransomware darauf hin, dass man erst große Angriffe beobachten muss, bevor man die Bedrohung ernst genug nimmt. Es ist interessant, über die Folgen eines erheblichen Verstoßes gegen einen Absteckpool nachzudenken. Der Ruf des Stake-Pools würde vermutlich stark beeinträchtigt werden und daher ist die Überlebensfähigkeit des Stake-Pools in einem wettbewerbsintensiven Markt fraglich. Ein Angriff kann auch Auswirkungen auf den Ruf der Währung haben.

Im schlimmsten Fall könnte es zum Zusammenbruch einer Währung kommen. Wenn das passiert – wie es bei FTX im Jahr 2022 nach einem weiteren Hackerangriff der Fall war, hat das negative Auswirkungen auf die Weltwirtschaft.

Hier, um zu bleiben

Ransomware wird noch Jahre, wenn nicht Jahrzehnte lang eine Herausforderung darstellen.

Eine mögliche Zukunftsvision ist, dass Ransomware einfach Teil des normalen Wirtschaftslebens wird und Unternehmen ständig der Bedrohung durch Angriffe ausgesetzt sind, ohne dass dies Konsequenzen für die weitgehend anonymen Banden von Cyberkriminellen hinter den Betrügereien hat.

Um solchen negativen Folgen vorzubeugen, brauchen wir ein stärkeres Bewusstsein für die Bedrohung. Dann können Anleger fundiertere Entscheidungen darüber treffen, in welche Absteckpools und Währungen sie investieren möchten. Es ist auch sinnvoll, einen Markt mit vielen Absteckpools zu haben, anstatt einen Markt, der nur von wenigen großen Pools dominiert wird, da dies die Währung vor möglichen Angriffen schützen könnte.

Über Krypto hinaus umfasst Preemption Investitionen in die Cybersicherheit in unterschiedlicher Form – von der Schulung des Personals bis hin zu einer Organisationskultur, die die Meldung von Vorfällen unterstützt. Dazu gehört auch die Investition in Wiederherstellungsoptionen wie effektive Backups, internes Fachwissen, Versicherungen und bewährte Notfallpläne.

Leider verbessern sich die Cybersicherheitspraktiken in vielen Unternehmen nicht so, wie man es sich erhoffen würde, und dies lässt Cyberkriminellen Tür und Tor offen. Grundsätzlich muss jeder besser darin werden, seine digitalen Schlüssel und sensiblen Informationen zu verbergen und zu schützen, wenn wir eine Chance gegen die nächste Generation von Ransomware-Angreifern haben wollen.

Für Sie:mehr aus unserer Insights-Reihe:

• Die schmelzende Arktis ist ein Tatort. Die Mikroben, die ich erforsche, haben uns schon lange vor dieser Katastrophe gewarnt – aber sie treiben sie auch voran

• Beatrix Potters berühmte Geschichten basieren auf Geschichten, die von versklavten Afrikanern erzählt wurden – über deren Ursprünge schwieg sie jedoch sehr.

• Invisible Windrush:Wie die Geschichten indischer Vertragsarbeiter aus der Karibik vergessen wurden

Um mehr über neue Insights-Artikel zu erfahren, schließen Sie sich den Hunderttausenden Menschen an, die die evidenzbasierten Nachrichten von The Conversation schätzen. Abonnieren Sie unseren Newsletter .