Security Operations

Wie konnte das FBI an die Bitcoins aus der Ransomware-Zahlung von Colonial kommen – und warum wird das nicht immer so gemacht?

Die Ransomware-Attacke auf den Pipline-Betreiber Colonial hat nicht nur wegen der wirtschaftlichen Dimension für Schlagzeilen gesorgt, sondern auch im Nachgang durch eine Meldung des FBI, in der verkündet wurde, dass ein Großteil der damals 4,4 Millionen Euro schweren Bitcoin-Überweisung von der Hackertruppe DarkSide zurückgeholt werden konnte.

An diesem Punkt stellt sich die Frage, wie das beim „One-Way-Ticket“ Bitcoin-Überweisung überhaupt möglich war. Denn Kryptowährungen werden von keiner zentralen Behörde verwaltet oder reguliert. Aus diesem Grund ist die Übertragung von Kryptomünzen an jemanden, den Sie nicht kennen und nicht identifizieren können, wie die Übergabe eines Koffers voller Bargeld an jemanden, den Sie noch nie zuvor getroffen haben und deshalb auch nicht wiederfinden. Eine Rückerstattung ist normalerweise nur dann möglich, wenn der Verkäufer dem zustimmt. Es gibt keine neutrale Instanz, die die Transaktion rückgängig machen könnte; kein in den Prozess integrierter Rechtsschutz, keine Aufsichtsbehörde, um eine Beschwerde zu bearbeiten. Trotz alledem ist die neueste Nachricht jedoch, dass es dem FBI anscheinend gelungen ist, den Großteil der im Fall „Colonial“ gezahlten Bitcoins zurückzuerobern.

Wie war das möglich?

Die Meldung fordert gleich zwei entscheidende Fragen heraus: Wie war das überhaupt möglich und warum können die nach einer Ransomwareattacke gezahlten Bitcoins nicht einfach immer auf diesem Weg zurückgeholt werden? Die Antwort ist, dass, obwohl die meisten Bitcoin-Besitzer anonym sind und es keine regulatorischen Möglichkeiten gibt, die Rückabwicklung unerwünschter oder rechtswidriger Transaktionen zu erzwingen, trotzdem jede Bitcoin-Zahlung in einem individuellen Bitcoin-Wallet landet. Dieses hat einen privaten Schlüssel, mit dem der Inhalt dieses Wallets ausgegeben, also auf das Bitcoin-Wallet eines anderen übertragen werden kann.

Denn Bitcoin-Transaktionen basieren auf der Public-Key-Kryptographie, die man sich als Schloss vorstellen kann, das mit zwei verschiedenen Schlüsseln ausgestattet ist und nicht nur mit einem: Der erste Schlüssel sichert das Schloss, aber nur der zweite Schlüssel kann es wieder öffnen. Die Idee, stark vereinfacht, ist, dass Nutzer den ersten Schlüssel veröffentlichen können, damit jeder Mitnutzer Daten für den Anwender „sperren“ kann; aber solange der aktive Nutzer den zweiten, privaten Schlüssel für sich behält, kann nur er diese Daten entsperren und anzeigen. Darauf basiert auch die Funktionsweise von BTC-Transaktionen: eine Bitcoin-Wallet-Adresse, die von einem öffentlichen Schlüssel abgeleitet wird, kann von jedem verwendet werden, um Gelder „wegzusperren“. Der öffentliche Schlüssel kann diese Gelder jedoch nicht anschließend freischalten, um sie weiter auszugeben. Um die Gelder freizugeben und sie an jemand anderen weiterzugeben, ist der private Schlüssel notwendig

Welche Strategien führen zum Ziel?

Wenn das FBI also in der Lage war, den privaten Schlüssel der Bitcoin-Geldbörse oder der Geldbörsen zu erhalten, in denen die Lösegeldzahlung von Colonial landete, könnte es diese Gelder einfach an sich selbst überweisen. Und genau das scheint im aktuellen Fall passiert zu sein. Wie es dem FBI genau gelungen ist, an die relevanten privaten Schlüssel zu kommen, wurde in der offiziellen Pressemitteilung verständlicherweise nicht erklärt.

Grundsätzlich gibt es einige Möglichkeiten, wie ein Strafverfolgungsteam an die sensiblen Daten kommen könnte:

  • Die Nutzung von Spyware-Tools auf Computern, um nach Dateien zu suchen und Tastenanschläge aufzuzeichnen. Mit etwas Glück kann Spyware nicht nur den privaten Schlüssel exfiltrieren, sondern auch das Passwort herausfinden, das zum Entsperren erforderlich ist. Offline-Kryptowährungs-Wallets und private Schlüssel dieser Art werden im Handel als „Cold Wallets“ bezeichnet, da sie nicht online zugänglich sein sollen.
  • Die Zusammenarbeit mit Kryptowährungsbörsen, um auf die dort gespeicherten Daten zuzugreifen. Nutzer von Bitcoin & Co. bewahren oft zumindest einen Teil ihres Geldes in sogenannten „Hot Wallets“ auf, die online gespeichert sind. Legitime Börsen werden mit den Strafverfolgungsbehörden zusammenarbeiten, wenn dies aufgrund eines Haftbefehls erforderlich ist, und kann private Schlüssel aushändigen.
  • Auch die Informationsbeschaffung durch einen Insider ist denkbar. Eine oder mehrere Personen innerhalb der DarkSide-Ransomware-Crew haben Zugriff auf die unrechtmäßig erworbenen Gelder, sodass das FBI die benötigten Informationen von diesen hätte erlangen können.

Warum passiert das nicht jedes Mal?

Auf welche Weise auch immer der FBI-Coup erfolgte, wirft die erfolgreiche Rückholung der Bitcoin-Zahlung neben dem „Wie“ natürlich auch die Frage auf, warum Strafverfolgungsbehörden mit dieser Strategie nicht immer Lösegeldzahlungen sicherstellen und den Gaunern das Geschäft verderben. Die Antwort ist, dass es in den meisten Fällen schlicht nicht möglich ist. Der Empfänger der kriminellen Transaktion muss einen operativen Fehler machen und die Organisation, die versucht, die fehlerhaften Bitcoins aufzuspüren, muss neben einer Menge Rechen- und Personalpower zumindest auch ein bisschen Glück haben.

Was sind die Bitcoin-Konsequenzen für Ottonormalverbraucher?

Obwohl es natürlich eine sehr positive Meldung ist, dass das FBI in diesem Fall einen Großteil des gezahlten Lösegelds zurückgewonnen hat, stellt sich für den „normalen“ Kryptowährungsnutzer die Frage, wie er sicherstellen kann, nicht eigene Kryptomünzen oder private Schlüssel zu verlieren. Sophos gibt deshalb folgende Tipps:

  • Legen Sie nicht alle Ihre Kryptomünzen in „Hot Wallets“. Wenn Sie Ihre Ersparnisse einer Bank anvertrauen, tun Sie dies mit jahrelanger behördlicher Kontrolle und Absicherung. In der Welt der Kryptowährungen sind Sie jedoch weitgehend auf sich allein gestellt, wenn etwas schief geht. Bewahren Sie nicht mehr auf, als Sie sich leisten können, zu verlieren.
  • Halten Sie nicht alle Ihre Daten die ganze Zeit online. Ironischerweise besteht eine wichtige Verteidigung gegen Ransomware vielleicht in erster Linie darin, ein Offline-Backup zu unterhalten. Ihre Kryptomünzen sowie alle wirklich privaten oder kritischen Daten offline zu halten, ist eine ähnlich nützliche Vorsichtsmaßnahme.
  • Erwarten Sie nicht, ein Bitcoin-Passwort oder auch eine Kreditkarten-PIN geheim halten zu können, wenn Sie es anderen mitteilen. Wie Benjamin Franklin gesagt haben soll: „Drei Menschen können ein Geheimnis bewahren, wenn zwei von ihnen tot sind.” Geben Sie Passwörter im Zweifelsfall nicht heraus.
  • Erwarten Sie nicht, Ihr Geld zurückzubekommen, wie es bei Colonial geschehen ist. Sie müssen die Wiederherstellung von Kryptomünzen als seltene Ausnahme ansehen, nicht als allgemeine Regel. Wie oben erläutert, erfordert es in der Regel einen sehr prominenten Fall, starke operative Intelligenz und ein bisschen Glück, damit die Strafverfolgungsbehörden ein solches Ergebnis erzielen.