Offensichtlich sind wenige dem „Wir verhandeln schön mit Terroristen“-Aufruf von Sandro Gaycken gefolgt. Der Direktor des Digital Society Institute in Berlin riet beim Befall des eigenen Systems durch die Ransomware WannaCry doch glatt uneingeschränkt zur Zahlung. Die Zahl derjenigen, die tatsächlich gezahlt haben, hält sich aber doch stark in Grenzen. Zur Zeit der Veröffentlichung dieses Artikels sind bisher lediglich etwa 54.200 Euro auf die Bitcoin-Konten der Erpresser gegangen. Das ist angesichts der Verbreitung und der Wichtigkeit der befallenen Systeme dann doch etwas mau.

Von einem „finanziellen Erfolg“ kann man in dem Fall also kaum sprechen, schließlich gibt es für die bisher eingenommene Summe lediglich ein Eis… auf dem Kilimandscharo. Die gezahlten Lösegelder dokumentiert ein Bot mit dem Twitter-Handle @actual_ransom und tweeted jedes Mal, wenn Geld an eine der Bitcoin-Adressen der Erpresser gegangen ist. Der Bot verfolgt momentan drei Adressen, auch wenn es scheinbar noch eine vierte gibt. Folglich könnten die „Einnahmen“ etwas höher sein.

Die Opfer haben noch bis zum 19. Mai Zeit, Bitcoins im Wert von 300 US-Dollar an eine der Adressen zu zahlen, ansonsten löscht WannaCry die völlig legale Musiksammlung die verschlüsselten Inhalte der Festplatten. Neben der Bitcoin-Adresse, an die das Geld zu zahlen ist, enthält WannaCry freundlicherweise eine Anleitung, wie man Bitcoins kauft.

Eine Garantie, dass eure Daten entschlüsselt werden, gibt es es aber nicht. Offenbar muss die Entschlüsselung händisch durch die Erpresser angestoßen werden, was Zeit und menschliche Ressourcen erfordert. Und je enger das BKA sowie Interpol die Schlinge ziehen, umso weniger werden sich die Erpresser wohl darum scheren, auch schön brav das zu tun, wofür ihr sie bezahlt habt. „There’s no honor amongst thieves“, heißt es schließlich im Englischen.

Also auch an dieser Stelle nochmal von mir die Empfehlung nicht zu zahlen. Und von F-Secures Mikko Hypponen auch:

Wer nicht von WannaCry befallen ist und, sich aber aufgrund der steigenden Preise der letzten Wochen mit dem Handeln von Cryptowährungen versuchen will, kann das beispielsweise bei Coinbase tun. Cryptowährungen sind nämlich längt nicht mehr nur in zwielichtigen Gefilden zu finden, sondern werden auch von internationalen Banken und Wirtschaftsunternehmen eingesetzt.

Und übrigens gar nicht so anonym wie es oft heißt und weswegen Entwickler von Ransomeware wie WannaCry Bitcoin gerne nutzen. Im Grunde wird nicht nur jede Transaktion von Bitcoins für immer in der Blockchain gespeichert und ist für immer nachvollziehbar. Das Ganze ist auch noch völlig öffentlich und für jeden Nutzer von Bitcoin sichtbar.

Die Blockchain müsst ihr euch dabei wie eine Datenbank vorstellen, die nicht zentral auf einem Server liegt, sondern eben dezentral bei allen Bitcoin-Nutzern und immer wieder aktualisiert wird. Wohin das Geld an die WannaCry-Erpresser geht, ist also nachvollziehbar. Auch wenn diese die Wallets vermutlich unter falschem Namen angelegt haben werden.

Zur Verschleierung reicht das aber oft nicht und so nutzen Kriminelle gerne Geldwäsche, um ihre Spuren zu verwischen. Die Bitcoins werden dabei nach Zahlung auf das Erpresser-Konto in andere Bitcoin-Wallets geschoben, die auch Gelder aus anderen Accounts annehmen. Nun werden wiederum kleinere Beträge an verschiedene andere Konten der Erpresser verschickt, abzüglich einer „Aufwandsentschädigung“, die auch bei der klassischen Geldwäsche üblich ist.

So kann das Prozedere immer weiter wiederholt werden, indem eine Summe mit anderen vermischt und dann in kleinere Beträge aufgeteilt wird, um die Nachvollziehbarkeit zu erschweren. In dem Sinne ist Bitcoin technisch leider nicht ganz so anonym, während alternative Währungen wie Monero explizit dafür entwickelt wurden.

Hoffen wir also, dass das BKA, Interpol und andere Behörden ihre Arbeit machen, um die WannaCry-Entwickler festzunehmen. Angriffe auf britische Krankenhäuser und deutsche Fernverkehrsnetze haben nämlich nichts von einem romantisierten Heist oder Robin Hood-Mentalität. Sondern könnten als Terrorismus ausgelegt werden, wenn es um Infrastrukturen des öffentlichen Lebens geht.