Site icon Sophos News

Wie konnte das FBI an die Bitcoins aus der Ransomware-Zahlung von Colonial kommen – und warum wird das nicht immer so gemacht?

Die Ransomware-Attacke auf den Pipline-Betreiber Colonial hat nicht nur wegen der wirtschaftlichen Dimension für Schlagzeilen gesorgt, sondern auch im Nachgang durch eine Meldung des FBI, in der verkündet wurde, dass ein Großteil der damals 4,4 Millionen Euro schweren Bitcoin-Überweisung von der Hackertruppe DarkSide zurückgeholt werden konnte.

An diesem Punkt stellt sich die Frage, wie das beim „One-Way-Ticket“ Bitcoin-Überweisung überhaupt möglich war. Denn Kryptowährungen werden von keiner zentralen Behörde verwaltet oder reguliert. Aus diesem Grund ist die Übertragung von Kryptomünzen an jemanden, den Sie nicht kennen und nicht identifizieren können, wie die Übergabe eines Koffers voller Bargeld an jemanden, den Sie noch nie zuvor getroffen haben und deshalb auch nicht wiederfinden. Eine Rückerstattung ist normalerweise nur dann möglich, wenn der Verkäufer dem zustimmt. Es gibt keine neutrale Instanz, die die Transaktion rückgängig machen könnte; kein in den Prozess integrierter Rechtsschutz, keine Aufsichtsbehörde, um eine Beschwerde zu bearbeiten. Trotz alledem ist die neueste Nachricht jedoch, dass es dem FBI anscheinend gelungen ist, den Großteil der im Fall „Colonial“ gezahlten Bitcoins zurückzuerobern.

Wie war das möglich?

Die Meldung fordert gleich zwei entscheidende Fragen heraus: Wie war das überhaupt möglich und warum können die nach einer Ransomwareattacke gezahlten Bitcoins nicht einfach immer auf diesem Weg zurückgeholt werden? Die Antwort ist, dass, obwohl die meisten Bitcoin-Besitzer anonym sind und es keine regulatorischen Möglichkeiten gibt, die Rückabwicklung unerwünschter oder rechtswidriger Transaktionen zu erzwingen, trotzdem jede Bitcoin-Zahlung in einem individuellen Bitcoin-Wallet landet. Dieses hat einen privaten Schlüssel, mit dem der Inhalt dieses Wallets ausgegeben, also auf das Bitcoin-Wallet eines anderen übertragen werden kann.

Denn Bitcoin-Transaktionen basieren auf der Public-Key-Kryptographie, die man sich als Schloss vorstellen kann, das mit zwei verschiedenen Schlüsseln ausgestattet ist und nicht nur mit einem: Der erste Schlüssel sichert das Schloss, aber nur der zweite Schlüssel kann es wieder öffnen. Die Idee, stark vereinfacht, ist, dass Nutzer den ersten Schlüssel veröffentlichen können, damit jeder Mitnutzer Daten für den Anwender „sperren“ kann; aber solange der aktive Nutzer den zweiten, privaten Schlüssel für sich behält, kann nur er diese Daten entsperren und anzeigen. Darauf basiert auch die Funktionsweise von BTC-Transaktionen: eine Bitcoin-Wallet-Adresse, die von einem öffentlichen Schlüssel abgeleitet wird, kann von jedem verwendet werden, um Gelder „wegzusperren“. Der öffentliche Schlüssel kann diese Gelder jedoch nicht anschließend freischalten, um sie weiter auszugeben. Um die Gelder freizugeben und sie an jemand anderen weiterzugeben, ist der private Schlüssel notwendig

Welche Strategien führen zum Ziel?

Wenn das FBI also in der Lage war, den privaten Schlüssel der Bitcoin-Geldbörse oder der Geldbörsen zu erhalten, in denen die Lösegeldzahlung von Colonial landete, könnte es diese Gelder einfach an sich selbst überweisen. Und genau das scheint im aktuellen Fall passiert zu sein. Wie es dem FBI genau gelungen ist, an die relevanten privaten Schlüssel zu kommen, wurde in der offiziellen Pressemitteilung verständlicherweise nicht erklärt.

Grundsätzlich gibt es einige Möglichkeiten, wie ein Strafverfolgungsteam an die sensiblen Daten kommen könnte:

Warum passiert das nicht jedes Mal?

Auf welche Weise auch immer der FBI-Coup erfolgte, wirft die erfolgreiche Rückholung der Bitcoin-Zahlung neben dem „Wie“ natürlich auch die Frage auf, warum Strafverfolgungsbehörden mit dieser Strategie nicht immer Lösegeldzahlungen sicherstellen und den Gaunern das Geschäft verderben. Die Antwort ist, dass es in den meisten Fällen schlicht nicht möglich ist. Der Empfänger der kriminellen Transaktion muss einen operativen Fehler machen und die Organisation, die versucht, die fehlerhaften Bitcoins aufzuspüren, muss neben einer Menge Rechen- und Personalpower zumindest auch ein bisschen Glück haben.

Was sind die Bitcoin-Konsequenzen für Ottonormalverbraucher?

Obwohl es natürlich eine sehr positive Meldung ist, dass das FBI in diesem Fall einen Großteil des gezahlten Lösegelds zurückgewonnen hat, stellt sich für den „normalen“ Kryptowährungsnutzer die Frage, wie er sicherstellen kann, nicht eigene Kryptomünzen oder private Schlüssel zu verlieren. Sophos gibt deshalb folgende Tipps:

Exit mobile version