Das Financial Crimes Enforcement Network (FinCEN) des US-Finanzministeriums veröffentlichte einen Bericht, demzufolge ausgehende Bitcoin-Transaktionen im Wert von 5,2 Milliarden US-Dollar mit Ransomware-Auszahlungen verbunden sein könnten, welche in Zusammenhang mit den zehn häufigsten Ransomware-Varianten stehen.
Dieser Bericht untersuchte unter anderem auch Ransomware-bezogene Verdachtsmeldungen (Suspicious Activity Reports, SARs), d. h. Meldungen von Finanzinstituten über mutmaßliche Ransomware-Zahlungen, in der ersten Jahreshälfte. "Der Gesamtwert der verdächtigen Aktivitäten, die in den ersten sechs Monaten des Jahres 2021 im Zusammenhang mit Ransomware gemeldet wurden, belief sich auf 590 Millionen US-Dollar und überstieg damit den Wert, der für das gesamte Jahr 2020 gemeldet wurde (416 Millionen US-Dollar)", so die Behörde. Wenig überraschend war das Ergebnis der Analyse, woraus hervorgeht, dass Ransomware eine zunehmende Bedrohung für die Regierung, Unternehmen und die Öffentlichkeit darstellt.
Durchschnittlich belief sich der Gesamtbetrag der verdächtigen Transaktionen im Zusammenhang mit Ransomware monatlich auf 66 Millionen US-Dollar, zum Vergleich: der Median lag bei 45 Millionen US-Dollar pro Monat. Aus den analysierten Transaktionsdaten wurde deutlich, dass Bitcoin die bevorzugte Zahlungsmethode der Cyberkriminellen war. Außerdem stellte FinCEN fest, dass Kriminelle zunehmend auch Lösegeldzahlungen in Monero, einer anonymen Kryptowährung (AEX) verlangen.
Beispielsweise wurden in 17 Ransomware-Meldungen Lösegeldforderungen in Monero gestellt. In einigen Fällen verlangten die Angreifer zunächst ausschließlich Lösegeld in Monero, akzeptierten nach einer Verhandlung aber auch Bitcoin, wofür jedoch dann eine zusätzliche Gebühr fällig wurde.
Cyberkriminelle nutzen diverse Geldwäschetaktiken, darunter zunehmende Forderungen nach Zahlungen in anonymen Kryptowährungen, die Vermeidung der Wiederverwendung von Wallet-Adressen für neue Angriffe und das separate Waschen der Erlöse aus jedem Ransomware-Angriff. Aus dem Bericht ging auch hervor, dass ausländische zentralisierte Börsen für konvertierbare virtuelle Währungen (CVC) der bevorzugte Weg für Angreifer sind, um ihre unrechtmäßigen Gewinne auszuzahlen.
Um die Herkunft der digitalen Währung zu verdecken, nutzen Cyberkriminelle, bevor sie ihre Einnahmen vollständig auf andere Dienste übertragen das so genannte "Chain Hopping". Bei diesem Verfahren, wird eine CVC mindestens einmal gegen eine andere ausgetauscht. Im Jahr 2021 wurde auch eine zunehmende Nutzung von Mischdiensten beobachtet. Das sind Plattformen, die dazu dienen, die Herkunft oder den Eigentümer der CVC zu verbergen. Interessanterweise hat die FinCEN beobachtet, dass die Nutzung von Mischdiensten je nach Ransomware-Variante variiert.
Darüber hinaus werden Illegale Gewinne aus Ransomware auch über dezentrale Börsen und verschiedene andere dezentrale Finanzanwendungen gewaschen, indem Zahlungen in alternative Formen von CVCs umgewandelt werden. "Einige DeFi-Anwendungen ermöglichen automatisierte Peer-to-Peer-Transaktionen ohne die Notwendigkeit eines Kontos oder einer Verwahrungsbeziehung. Die FinCEN-Analyse von Transaktionen auf der BTC-Blockchain hat Ransomware-bezogene Gelder identifiziert, die indirekt an Adressen gesendet wurden, die mit offenen Protokollen zur Verwendung in DeFi-Anwendungen verbunden sind", so die FinCEN bei der Beschreibung des Prozesses.