Vorsicht bei crypto-Lösegeldzahlungen

Veröffentlicht am von Sebastian Okada

[UPDATE] WER IN RANSOMWARE-FÄLLEN LÖSEGELD ZAHLT, KANN ÄRGER MIT DER U.S.-JUSTIZ BEKOMMEN. DEREN LISTE DER VERBOTENEN LÖSEGELD-EMPFÄNGER WIRD IMMER LÄNGER.

Lösegeldzahlungen an sanktionierte Cyber-Kriminelle sind nach U.S.-Recht verboten und können verfolgt werden, auch im Ausland. Als wir vor einem Jahr über dieses neue Verbot berichteten, gab es nur 10 Namen auf der Liste der sanktionierten Cyber-Kriminellen. Innerhalb eines Jahres ist die Liste („CYBER2“ Program) auf stolze 162 angewachsen und wird jeden Monat länger. Sie schließt zudem jetzt auch Wallet-Adressen der Erpresser mit ein.

Wer also plant, Lösegeld in Crypto-Währung an Cyber-Erpresser zu zahlen und Geschäfte in oder mit den USA macht, sollte vorher in der OFAC-Sanktionsdatenbank die Empfänger-Wallet prüfen (oder von Profis prüfen lassen). Die Frage ist nämlich, ob die jeweilige Wallet, an die das Lösegeld geschickt werden soll, bereits auf der Schwarzen Liste der OFAC steht. Dann droht schlimmstenfalls Ärger mit der U.S.-Justiz wegen Finanzierung einer kriminellen Vereinigung.

Screenshot der OFAC-Datenbank, deren Sanktionsprogramm „CYBER2“ mittlerweile 162 Einträge von Personen und Gruppen umfasst.
Wallet-Adressen des Hackers Jiadong LI, der laut OFAC zur Lazarus Group gehört.

Hintergründe

Die OFAC schrieb in ihrem Advisory vom 1. Oktober 2020, dass diejenigen, die Ransomware-Zahlungen an sanktionierte Personen, Organisationen oder Länder „ermöglichen“ („facilitate“), von der US-Justiz strafrechtlich und zivilrechtlich verfolgt werden können.

Zivilrechtlich selbst dann, wenn der Geschädigte nicht wusste, an wen er eigentlich zahlt:

“…meaning that a person subject to U.S. jurisdiction may be held civilly liable even if it did not know or have reason to know it was engaging in a transaction with a person that is prohibited under sanctions laws and regulations administered by OFAC.”

Das hört sich alles sehr weitgreifend an, man muss aber die Kirche im Dorf lassen: nur wenige ausländische Unternehmen werden vermutlich von solcher Verfolgung durch die US-Justiz je betroffen sein.

Aber es lohnt sich zunehmend, das Thema Ransomware/OFAC auf dem Schirm zu haben. Vor allem, wenn einige der Wallets mittlerweile veröffentlicht werden, so dass eine Prüfung vor der Zahlung möglich ist.

Wer ist betroffen?

Das Verbot betrifft in erster Linie US-Personen, wobei mit „Personen“ sowohl Individuen als auch Firmen und Organisationen gemeint sind.

Daneben gilt es allerdings für „transactions by a non-U.S. person which causes a U.S. person to violate any […] sanctions”. Also Zahlungen, bei denen ausländische Entitäten, z.B. deutsche Firmen, US-Gesellschaften involviert haben.

Im Kern richtet sich diese Warnung gegen:

  • Banken und andere Finanzinstitutionen
  • Versicherungen, die Cyber-Policen anbieten
  • International tätige Beratungsfirmen, die IT-Forensik und Cyber-Krisenreaktion betreiben

sofern diese an der Bereitstellung der Gelder in irgendeiner Form beteiligt waren.

Wer ist sanktioniert?

Bisher sind also 162 Namen von Personen und Gruppen in der Sanktionsdatenbank und zu vielen davon diverse Wallet ID-Nummern.

Folgende Länder sind darüber hinaus insgesamt für Zahlungen von Lösegeldern durch die OFAC geblockt: Kuba, Iran, Nordkorea und die Region Krim/Ukraine.

Der „Nexus“ zählt mit

Zudem ist die Zahlung verboten, wenn sie an einen „Nexus“ der sanktionierten Personen/Gruppen geht. Damit ist ein Geflecht oder Netzwerk gemeint, das heißt potentiell, alle Personen oder Gruppen, die mit dem von der OFAC geblockten Cyber-Kriminellen irgendwie zusammenhängen

Die OFAC bleibt hier auffallend unscharf, vermutlich um möglichst weitgehende Jurisdiktion zu schaffen.

Was also tun?

Wenn Sie von Ransomware geschädigt wurden und darüber nachdenken, ob Sie evtl. Lösegeld zahlen wollen, um die Kontrolle über Ihre IT-Systeme zurückzubekommen, lassen Sie sich unbedingt vorab beraten.

Zentrale Fragen, die dabei individuell abgeklärt werden sollten:

  • Wie hoch ist das potentielle Schadensausmaß? (Worst Case Szenario)
  • Auf welchem Weg würden die Bitcoins oder anderen Crypto-Währungen gezahlt?  
  • Wie heißt die Wallet, die die Erpresser genannt haben, ist sie bereits sanktioniert? (ein Check der nicht lange dauert, sich aber lohnt)
  • Wer ist vermutlich die Tätergruppe? Hier sind Kommunikation und Ermittlungen inklusive digitaler Forensik notwendig.
  • Sollen US-Behörden informiert werden, um einer Strafverfolgung vorzubeugen? In Frage kommen FBI, FinCEN, U.S. Secret Service Cyber Fraud Task Force, Cybersecurity and Infrastructure Security Agency, Homeland Security Investigations Field Office sowie OFAC.
  • Ist das geschädigte Unternehmen strategisch/sicherheitspolitisch für die Amerikaner interessant oder ihnen evtl. sogar ein Dorn im Auge? Das könnte das Risiko und die Intensität der Strafverfolgung beeinflussen.

All diese Punkte sollten vor der Entscheidung über ein Lösegeld kritisch diskutiert und bedacht werden.

Der Autor:

Sebastian Okada leitet die Abteilung Ermittlungen & Prävention | Wirtschaftskriminalität bei Corporate Trust in München.

Kontakt:

intelligence@corporate-trust.de

+49 89 599 88 75 80

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

Gravatar
WordPress.com-Logo

Du kommentierst mit deinem WordPress.com-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit deinem Facebook-Konto. Abmelden /  Ändern )

Abbrechen

Verbinde mit %s

Veröffentlicht von Sebastian Okada

Fraud Investigator and Intelligence Expert