Die Sammlung und Verarbeitung von Informationen war ein wichtiges Thema bei der Anhörung des US-Senatsausschusses für innere Sicherheit und Regierungsangelegenheiten (HSGAC) mit dem Titel „Steigende Bedrohungen: Ransomware-Angriffe und Lösegeldzahlungen ermöglicht durch Kryptowährung“ am Dienstag. Das Komitee war Gastgeber einer Gruppe von Experten aus dem Privatsektor, die das Problem von Ransomware-Angriffen und die Herausforderungen beim Sammeln und Verwenden der zu ihrer Bekämpfung erforderlichen Informationen diskutierten.
Der Vorsitzende des Ausschusses, Gary Peters aus Michigan, der im Februar den „Strengtening American Cybersecurity Act“ einführte, sagte, der Regierung fehle es an ausreichenden Daten, um auch nur das Ausmaß der Bedrohung durch Ransomware-Angriffe zu verstehen. Angreifer verlangen fast ausschließlich Zahlungen in Kryptowährung, fügte er hinzu.
Es wurden mehrere Zahlen genannt, um das Problem zu quantifizieren. Jackie Burns Koven, Head of Cyber Threat Intelligence bei Chainalysis, sagte, das Unternehmen habe im Jahr 2021 eine Rekordsumme von 712 Millionen US-Dollar identifiziert, die an Angreifer gezahlt wurden, wobei 74 % des Geldes an Bedrohungsakteure in Russland oder mit Verbindungen zu Russland gingen. Die durchschnittliche Zahlung betrug 121.000 $ und die mittlere Zahlung 6.000 $. Angreifer verwenden häufig ein Ransomware-as-a-Service-Geschäftsmodell.
Verwandt: Krypto konventionell machen durch weltweite Verbesserung der Ermittlungen bei Krypto-Kriminalität
Ransomware ist eine Form der Erpressung und existierte vor der Kryptowährung, sagten Megan Stifel, Chief Strategy Officer des Institute for Security and Technology, und Bill Siegel, CEO von Coveware. Zu wissen, welche Informationen zu sammeln sind, wenn ein Angriff stattfindet, und wie die Informationen zu organisieren sind, ist eine große Herausforderung für die Strafverfolgung, fügte Siegel hinzu.
Das Sammeln von Informationen ist oft „ein verworrenes Durcheinander im ungünstigsten Moment“, sagte Ausschussmitglied James Lankford aus Oklahoma. Mehrere Behörden fordern sich überschneidende, aber nicht identische Daten von Opfern des Angriffs in der Folge – und dann könnte die Strafverfolgung des Falls Jahre dauern. Diese Faktoren, zusammen mit der Befürchtung, dass die Angreifer keinen Verschlüsselungsschlüssel freigeben, wenn die Strafverfolgungsbehörden eingeschaltet werden, erklären einen Großteil des Zögerns der Opfer, Angriffe zu melden.
Stifel schlug vor, dass die Benennung einer einzigen Behörde für den Empfang und die Sichtung von Daten nach einem Angriff die Informationserfassung verbessern würde, insbesondere wenn Unternehmen vor dem Angriff eine Beziehung zu dieser Behörde aufgebaut hätten.
Koven sagte, die Blockchain-Analyse könne im Gegensatz zu den langwierigen Prozessen traditioneller Finanzermittlungen „unmittelbaren Einblick in das Netzwerk von Wallet-Adressen und Diensten (z. B. Börsen, Mixer usw.) geben, die den illegalen Akteur erleichtern“.
Die Sanktionen der US-Regierung gegen Ransomware-Akteure und ihre Unterstützer seien äußerst effektiv, so Koven weiter. Sie verwies als Beispiele auf Sanktionen gegen die in Russland ansässige Kryptowährungsbörse Garantex und den Händler Suex. Die Geldflüsse „fallen nach den Sanktionen auf fast Null ab“, sagte sie. Darüber hinaus kann die Blockchain-Analyse das Rebranding von Angreifern verfolgen, und Chainalysis hat eine Technologie entwickelt, um Gelder durch Kryptowährungsmischer zu verfolgen.