Lösegeld über ShapeShift.io getauscht

04.08.2017

In Zeiten totaler Vernetzung weichen Banküberfälle einer effektiveren Art der kriminellen Geldbeschaffung: Ransomware. WannaCry ist eine solche Ransomware, die monatelang Sicherheitslücken auf Rechnern weltweit ausnutzte, um Laufwerke gegen den Willen ihrer Nutzer zu verschlüsseln. Die Akteure hinter WannaCry wollten jetzt anscheinend ihre Beute sichern.

Digitaler Überfall

BTC-ECHO berichtete über die verheerenden Vorfälle mit der WannaCry-Ransomware bereits im Mai. Unzählige Rechner weltweit wurden infiziert, die Angreifer forderten zunächst ein Lösegeld in Bitcoin, später auch in der (fast) anonymen digitalen Währung Monero. Mit dem Lösegeld sollte man angeblich den Schlüssel bekommen, der das betroffene Laufwerk wieder entschlüsseln konnte. Sicherheitsexperten rieten zur Geduld, da sich einige dieser Verschlüsselungen anderweitig lösen ließen.

Selbst Rechner des britischen Gesundheitsministeriums waren betroffen, das Ausmaß dürfte der Allgemeinheit noch gar nicht wirklich bewusst sein. 300.000 Rechner in über 150 Ländern wurden Opfer dieses Angriffs. Die Häufigkeit dieser Ransomware-Attacken steigt.

Die Adresse mit dem Beutegut auf der Bitcoin-Blockchain ist bekannt. Am Mittwoch meldete ein Twitter-Bot, dass die Auszahlung aus der Hacker-Adresse begonnen habe. Über den Schweizer Wechseldienst ShapeShift.io versuchten die Hacker ihre erbeuteten Bitcoins in Monero zu tauschen. Die erste Auszahlung belief sich dabei auf rund 7,34 Bitcoin, was aktuell etwas mehr als 20.000 US-Dollar entspricht. Moneros Marktkapital liegt derzeit bei 650 Millionen US-Dollar, wobei ein XMR-Token derzeit bei einem Preis von 43 US-Dollar liegt.

Die digitale Währung erlang immer mehr Bekanntheit, nicht zuletzt auch, da Darkweb-Marktplätze wie AlphaBay letztendlich durch die offene Natur der Public Blockchain, wie bei Bitcoin, ausgehebelt werden konnten.

ShapeShifts Reaktion

Doch die vermeintliche Flucht in Monero schien den Hackern leichter als gedacht. Das Team hinter ShapeShift meldete darauf am Mittwoch, dass die Transaktion die Nutzungsbedingungen von ShapeShift.io verletzen würden.

"Ab heute setzen wir alle Adressen auf eine Blacklist ["Schwarze Liste", die nicht akzeptiert wird, Anm. d. Red], die mit dem WannaCry-Hack zu tun haben und die unserem ShapeShift-Team bekannt sind, so wie es unsere Policy vorsieht, wenn die Dienstleistungsbedingungen nicht eingehalten werden. Wir beobachten die Situation genau und blocken weitere Adressen, die damit in Verbindung stehen."

Nach eigenen Informationen arbeitet ShapeShift für diesen Fall nun mit Strafverfolgungsbehörden zusammen.

From Hero to Zero

Unterdessen wurde der Retter in während des WannaCry-Angriffs, Marcus Hutchins, von der Polizei festgenommen. Der Brite stoppte die Verbreitung der WannaCry-Ransomware, indem er im Code der Software eine Internet-Adresse fand und sie prompt registrierte. Die Software fragte immer wieder ab, ob die Seite existiere. Nachdem die Seite dann registriert wurde, bekam die Software eine positive Rückmeldung, was wie ein Notausschalter funktionierte.

Der britische IT-Experte Hutchins wurde nun aber festgenommen - nicht wegen WannaCry. Er soll an einer anderen Schadsoftware mit dem Namen Kronos gearbeitet haben. Diese leitete infizierte PCs auf gefälschte Internetseiten um, die exakt wie ihre Originale aussahen. Dabei handelte es sich um Banking-Portale, sodass die Opfer unwissentlich ihre Nutzungsdaten auf der falschen Internetseite eingaben. Ein weiterer Entwickler wurde neben Hutchins festgenommen und wegen der Entwicklung, sowie Verbreitung, von Kronos im Darknet angeklagt.

quelle BTC-ECHO