Cryptomixer: Geldwäsche-Dienste für Cyberkriminelle
Cryptomixer: Geldwäsche-Dienste für Cyberkriminelle
Bildquelle: AY_PHOTO

Cryptomixer: Geldwäsche-Dienste für Cyberkriminelle

Cryptomixer-Dienste, die „saubere“ Kryptowährungen anbieten, sind in Cybercrime-Foren weit verbreitet. Intel 471 sah sich einige Dienste an.

Eine Blockchain-Analyse ermöglicht es Forschern und Strafverfolgungsbehörden, Informationen aus illegalen Transaktionen zu gewinnen. Hingegen setzen Kriminelle zur Verschleierung ihrer Transaktionen Cryptomixer ein. Polizeiliche Ermittlungen werden damit erschwert. Das Threat Intelligence-Unternehmen Intel 471 nahm einige der populärsten Cryptomixer-Dienste genauer unter die Lupe.

Cryptomixer-Dienste sollen Bitcoin-Anonymität garantieren

Kryptowährungen, wie der Bitcoin (BTC), verfügen mit ihrer Blockchain über ein öffentlich einsehbares Register bezüglich der Transaktionen. Damit sind alle Geldflüsse sogar noch Jahre später für jeden nachvollziehbar. Zumindest kann man sehen, welche Wallet-Adresse Kryptowährung an eine andere Adresse transferiert hat.

Cryptomixer-Dienste versprechen, dass nach Überweisung des gemischten Betrages an die gewünschte Adresse keinerlei Verbindung mehr zwischen der ursprünglichen Transaktion und dieser Adresse bestehen würde. Die Anonymisierung erreicht man gewöhnlich, indem man u.a. eingezahlte Krypto-Guthaben mit denen anderer Nutzer vermischt. Die Betreiber dieser Dienste erhalten einen Anteil an jeder Transaktion und der Prozess nimmt in der Regel Zeit in Anspruch – oft Tage. Im Gegenzug bieten sie den Nutzern Anonymität in verschiedenen Formen an, wobei viele versprechen, niemals Protokolle von Transaktionen aufzubewahren.

Funktionsweise von Mixerdiensten

Bedrohungsakteure verwenden demgemäß Mixer, um Bitcoin oder eine andere Kryptowährung an eine Wallet-Adresse zu senden, die einem Betreiber eines Cryptomixers gehört, wo sie mit der eigenen Kryptowährung des Dienstes und der anderer Cyberkrimineller zusammengeführt wird. Die Kryptowährung des ursprünglichen Bedrohungsakteurs reiht sich hinten in die „Kette“ ein und der Bedrohungsakteur erhält eine eindeutige Referenznummer, die als „Mischungscode“ für die eingezahlten Gelder bekannt ist, beschreibt Intel 471 dabei den Mixvorgang. Dieser Code stellt sicher, dass der Akteur nicht seine eigenen „schmutzigen“ Gelder zurückerhält, die theoretisch mit seinen illegalen Operationen in Verbindung gebracht werden könnten.

Dann erhält der Akteur „dieselbe Summe an Bitcoins aus dem Pool des Cryptomixers, gemischt mit dem firmeneigenen Algorithmus des Dienstes, abzüglich einer Servicegebühr“. An Provision sind in der Regel 1-3 Prozent von der gemischten Kryptowährung fällig. „Für zusätzliche Anonymität kann der Bedrohungsakteur diese neue ’saubere‘ Bitcoin-Summe an zahlreiche Wallet-Adressen senden, um die Spur der illegalen Gelder weiter zu verwischen“. Das erschwert die Versuche der Strafverfolgungsbehörden die ursprüngliche ’schmutzige‘ Kryptowährung zuzuordnen“.

Angesagte Cryptomixer-Dienste

Intel 471 beobachtete derzeit in Cybercrime-Foren besonders angesagte Cryptomixer-Dienste, wie Absolutio, AudiA6, Blender und Mix-btc. Dabei stellten sie fest, dass alle in mehreren bekannten Cybercrime-Foren gut vertreten waren.

„Alle Mixer hatten professionell aussehende Websites. Wahrscheinlich ist das ein Versuch, ihre Operationen legitimer erscheinen zu lassen und eine größere Anzahl von Kunden anzuziehen. Keiner der Anbieter warb für seine Rolle bei der Geldwäsche. Sie zogen es stattdessen vor, zu suggerieren, dass ihre Websites Unternehmen dienen, die Kryptowährungen verwenden, und Einzelpersonen, die ihre Privatsphäre schützen wollen.“

Intel 471

Mit Ausnahme von Mix-btc arbeiten alle Cryptomixer im Tor-Netzwerk, um die Anonymität und Privatsphäre ihrer Benutzer zu gewährleisten. Die Dienste unterstützen Bitcoin, Bitcoin Cash, Dash, Ethereum, Ethereum Classic, Litecoin, Monero und Tether. Die Analysten von Intel471 beobachteten dabei eine Wallet, die zu Blender gehört. Sie berichten, dass diese offenbar zwischen Juni 2020 und Juli 2020 Kryptowährungstransaktionen im Wert von 3.400.000 Dollar abwickelte. Dabei verdient die Plattformen Zehntausende von Dollar pro Monat, die größtenteils aus Aktivitäten der Cyberkriminalität stammen.

Mischen von Kryptowährungen als rechtliche Grauzone

Das Mischen von Kryptowährungen ist an sich nicht illegal und wird allgemein als eine Methode zur Verbesserung der Privatsphäre beworben. Wenn ein Cryptomixer jedoch wissentlich illegale Operationen bei der Wäsche illegaler Erlöse unterstützt, werden die Strafverfolgungsbehörden ihn ins Visier nehmen und seine Dienste beenden.

In der Vergangenheit haben die Behörden den Helix-Bitcoin-Mixer geschlossen, weil er Hunderte von Millionen Dollar an illegalen Drogengeldern gewaschen hat. In ähnlicher Weise beschlagnahmte die niederländische Polizei die Domäne BestMixer.io. Diese stand im Verdacht, dass Bedrohungsakteure den Mixer nutzten, um mindestens 200 Millionen Dollar Bitcoin für Cyberkriminelle zu waschen.

Einige Cryptomixer sind zudem eng mit Ransomware-as-a-Service-Operationen verbunden. Intel471 beobachtete, dass einige Ransomware-Gruppen Kryptowährungs-Mischdienste direkt in ihre administrativen Panels integriert haben. Wie sich herausstellte, war dies auch für die Ransomware-Gruppen eine Möglichkeit, Geld zu verdienen. BitMix betreibt ein Partnerprogramm, bei dem die Provisionen mit dem werbenden Partner geteilt werden. Im Bericht von Intel471 heißt es:

„Die Entwickler hinter Avaddon, DarkSide 2.0 (auch bekannt als BlackMatter) und REvil haben den BitMix-Kryptowährungs-Mixer integriert, um das Waschen von Lösegeldzahlungen für Partner zu erleichtern.“

Intel 471

Über

Antonia ist bereits seit Januar 2016 Autorin bei der Tarnkappe. Eingestiegen ist sie zunächst mit Buch-Rezensionen. Inzwischen schreibt sie bevorzugt über juristische Themen, wie P2P-Fälle, sie greift aber auch andere Netzthemen, wie Cybercrime, auf. Ihre Interessen beziehen sich hauptsächlich auf Literatur.