Es geistern News umher, die finnischen Behörden konnten den Privacy-Coin Monero knacken. Doch die Aufklärung gelang wohl mit anderen mitteln.
Die Blockchain vom Monero ist nach wie vor sicher, wie es aussieht. Es geht um die Verurteilung des 1997 geborenen Hackers namens Julius Aleksanteri ‚Zeekill‘ Kivimaki. Bereits im Sommer 2015 hatte ein Gericht entschieden, dass der damals 17-Jährige nicht ins Gefängnis musste. Man warf ihm damals nicht weniger als 50.000 Cyberstraftaten vor. Darunter Datenschutzverletzungen, Online-Erpressungen, Zahlungsbetrug, Betrieb eines riesigen Botnetzes und Bombendrohungen.
Kivimaki gab damals damit an, in Verbindung mit der Gruppierung Lizard Squad gestanden zu haben, die Microsoft und Sony mit massiven DDoS-Angriffen offline bekommen hat.
Hacker erpresste auch Privatpersonen
Im Herbst 2022 forderte Kivimaki Lösegeld in Bitcoin. Die Wallet-Adresse seines Monero-Kontos gab er bei Erpressungen nicht an. Der Hacker drang im Oktober 2018 in die Server eines finnischen Psychotherapiezentrums namens Vastaamo ein. Die Betreiber waren allerdings nicht dazu bereit, zu bezahlen. „Wir verlangen nicht viel, etwa 450.000 Euro, das sind weniger als 10 Euro pro Patient und nur ein kleiner Teil des Jahresumsatzes von rund 20 Millionen Euro dieses Unternehmens„, schrieb ransom_man dem Unternehmen, als er sie erpresste.
Mangels einer Zahlung durch Vastaamo ging Kivimaki aka ransom_man dazu über, einzelne Patienten zu kontaktieren. Nach Angaben der finnischen Polizei berichteten etwa 22.000 Opfer von Erpressungsversuchen, die sich gegen sie persönlich richteten. Das waren gezielte E-Mails, in denen er damit drohte, die Daten ihrer Psychotherapie online zu veröffentlichen, wenn sie nicht 500 Euro Lösegeld zahlen würden.
Hacker verriet sich durch einen verräterischen Upload
Doch der junge Mann, der in der Szene unter dem Pseudonym ‚ransom_man“ bekannt war, hatte im Oktober 2020 im Darknet einen eklatanten Fehler begangen. Er hatte beim Hochladen einer komprimierten Datei mit allen Daten, die er gehackt hatte, versehentlich das gesamte /home-Verzeichnis seines eigenen Computers mit verschickt.
Monero spielte bei der Aufklärung wahrscheinlich keine Rolle
Noch bevor er das verräterische Archiv löschen konnte, hatten es einige Personen heruntergeladen. Dazu gehörte auch ein ehemaliger Kriminalbeamter, der für eine Sicherheitsfirma die Nutzung des Zbot-Netzwerkes untersuchte. Außerdem hatte eine Website im Darknet das gesamte Archiv zwischenzeitlich veröffentlicht. Das wird am Ende zu seiner Überführung geführt haben, nicht der Monero.
KRP stellte Wallet-Adresse seines BTC-Kontos fest
Die Keskusrikospoliisi (kurz KRP), das Pendant des BKA in Finnland, stellte im Rahmen der Ermittlungen einer Erpressung fest, dass gezahltes Lösegeld eines Unternehmens auf dem persönlichen Bankkonto von Julius Aleksanteri Kivimäki gelandet war. Zuvor gelang es dem KRP 0,1 Bitcoin an seine Wallet-Adresse zu schicken, um der Spur des Geldes zu folgen. Dafür gaben sich die Polizisten als Opfer einer Erpressung des Cyberkriminellen aus. Der Hacker nutzte einen Tumbler, um die Bitcoins zu mixen und tauschte sie dann in den Pricacy Coin Monero um.
Kivimaki nutzte auskunftsfreudigen Krypto-Handelsplatz
Die KRP behauptet nun gegenüber lokalen Medien, man habe die Blockchain des Monero geknackt, um die Transfers zu identifizieren. Der Hacker machte einen weiteren Fehler und übertrug die Gelder an ein Konto bei Binance, die natürlich mittlerweile bei behördlichen Anfragen Auskünfte erteilen. Doch die Anfrage ergab angeblich nur eine E-Mail-Adresse. Zeekill hatte allerdings beim Versuch, gefälschte Ausweise zu benutzen eine weitere E-Mail-Adresse angegeben, die der Tatverdächtige nachweislich kontrolliert hat.
Vorerst ist der Monero sicher
Die finnische Polizei will fast 30 Überweisungen auf zwei Binance-Konten auch innerhalb der Monero-Blockchain nachverfolgt haben, doch das ist sehr unwahrscheinlich. Wie genau dies gelungen sein soll, hält man geheim. Auch auf Twitter stellte man die angegebene Methode der Behörde infrage. Viel wahrscheinlich ist es, dass die Auskünfte von Binance an die Polizei in Kombination mit dem verräterischen Upload der eigenen Daten, dazu führten, den Fall aufzuklären.
Julius Aleksanteri Kivimäki wird nicht nur wegen des Hacks des Psychotherapiezentrum Vastaamo angeklagt, sondern auch wegen versuchter und erfolgreicher Erpressung des Unternehmens und seiner Kunden.
Die Staatsanwaltschaft fordert eine Freiheitsstrafe von sieben Jahren. Kivimäki bestreitet jegliches Fehlverhalten. Er wirft den Behörden vor, den Fall nicht ordnungsgemäß zu untersuchen.