Die US-Behörden gaben heute Strafanzeigen und finanzielle Sanktionen gegen zwei russische Männer bekannt, die beschuldigt werden, virtuelle Währungen im Wert von fast 17 Millionen Dollar in einer Reihe von Phishing-Angriffen in den Jahren 2017 und 2018 gestohlen zu haben, bei denen Websites für einige der beliebtesten Tauschgeschäfte für Krypto-Währungen gefälscht wurden.
Die Anklage gegen die russischen Staatsbürger Danil Potechin und Dmitirii Karasawidi wurde vom Justizministerium freigegeben, da das Duo angeblich für eine ausgeklügelte Phishing- und Geldwäsche-Kampagne verantwortlich war, die zum Diebstahl von 16,8 Millionen Dollar in Krypto-Währungen und Fiat-Geldern der Opfer führte.
Unabhängig davon kündigte das US-Finanzministerium Wirtschaftssanktionen gegen Potechin und Karasawidi an. Dabei wurden sämtliche Besitztümer und Interessen dieser Personen (die der US-Justiz unterstehen) eingefroren und Transaktionen mit ihnen als Verbrechen eingestuft.
Den Anklageschriften zufolge richteten die beiden Männer gefälschte Websites ein, die die Anmeldeseiten für die Devisenbörsen Binance, Gemini und Poloniex gefälscht haben. Die Männer sollen mit gestohlenen Anmeldedaten ausgestattet gewesen sein und mehr als 10 Millionen Dollar von 142 Binance-Opfern, 5,24 Millionen Dollar von 158 Poloniex-Benutzern und 1,17 Millionen Dollar von 42 Gemini-Kunden gestohlen haben.
Die Staatsanwälte sagen, dass die Männer dann die gestohlenen Gelder über eine Reihe von intermediären Kryptowährungskonten – einschließlich kompromittierter und fiktiv erstellter Konten – auf den anvisierten Kryptowährungsaustauschplattformen gewaschen haben. Des Weiteren wird den beiden Männern vorgeworfen, den Wert ihrer unrechtmäßig erworbenen Gewinne künstlich in die Höhe getrieben zu haben, indem sie mit einigen der gestohlenen Gelder Kursmanipulationen in Kryptowährung vorgenommen haben.
So sollen die Ermittler zum Beispiel Potechin und Karasawidi kompromittierte Poloniex-Konten benutzt haben, um Aufträge zum Kauf großer Mengen von „GAS“ zu erteilen, dem digitalen Währungstoken, mit dem die Kosten für die Ausführung von Transaktionen auf der NEO-Blockchain – Chinas erster Open-Source-Blockchain-Plattform – bezahlt wurden.
„Unter Verwendung der digitalen Währung auf einem Poloniex-Konto eines Opfers erteilten sie einen Auftrag zum Kauf von ungefähr 8.000 GAS, wodurch der Marktpreis für GAS sofort von ungefähr 18 Dollar auf 2.400 Dollar erhöht wurde“, erklärt die Anklageschrift.
Anschließend konvertierten Potechin und andere das künstlich aufgeblasene GAS in ihren eigenen fiktiven Poloniex-Konten in andere Krypto-Währungen, darunter Ethereum (ETH) und Bitcoin (BTC). Aus der Beschwerde:
„Bevor die acht fiktiven Poloniex-Konten eingefroren wurden, übertrugen POTEKHIN und andere etwa 759 ETH in neun digitale Währungsadressen. Auf raffinierte und geschichtete Weise wurde die ETH von diesen neun Adressen in digitaler Währung über mehrere Zwischenkonten geschickt, bevor sie schliesslich auf ein von Karasavidi kontrolliertes Bitfinex-Konto eingezahlt wurde.
In der heutigen Klage des Finanzministeriums werden mehrere der Krypto-Währungskonten aufgeführt, von denen angenommen wird, dass sie von den Angeklagten benutzt wurden. Die Suche auf einigen dieser Konten auf verschiedenen Seiten zur Verfolgung von Kryptowährungstransaktionen weist auf eine Reihe von Phishing-Opfern hin.
„Ich würde Ihnen gerne Ihren Schlampenarsch wegpusten, wenn Sie auch nur die Eier hätten, sich zu zeigen“, rief ein Opfer in einem Kommentar auf dem Etherscan-Suchdienst aus.
Ein Mitglied sagte, dass es Selbstmordgedanken hegte, nachdem es bei einem Phishing-Angriff 2017 aus seinen ETH-Beständen beraubt worden war. Ein anderes sagte, er sei von Geldern entlastet worden, die er für die medizinische Behandlung seiner 3-jährigen Tochter brauchte.
„Sie und Ihr Team werden eine Spur hinterlassen und gefunden werden“, schrieb ein Opfer unter dem Decknamen „Illfindyou“. „Sie werden sich nur für kurze Zeit hinter der Fassade verstecken können. Geh und beklau die Wale, du Stück Scheiße.“
Es gibt möglicherweise gute Nachrichten für die Opfer dieser Phishing-Angriffe. Nach Angaben des Finanzministeriums wurden Millionen von Dollar in virtueller Währung und US-Dollar, die auf Karasavidis Konto zurückverfolgt werden konnten, im Rahmen einer Einziehungsaktion des US-Geheimdienstes beschlagnahmt.
Inwieweit eines dieser Gelder an die Opfer dieses Phishing-Angriffs zurückgegeben werden kann, bleibt abzuwarten. Und sollte dies geschehen, könnte es Jahre dauern. Im Februar 2020 schrieb KrebsOnSecurity über die Kontaktaufnahme mit einem Ermittler des Internal Revenue Service, der versucht, Gelder zurückzugeben, die sieben Jahre zuvor im Rahmen der Beschlagnahme von Liberty Reserve durch die Regierung 2013 beschlagnahmt worden waren, einem virtuellen Währungsdienst, der als 6-Milliarden-Dollar-Hub für die Welt der Cyberkriminalität fungierte.
Die Aktion von heute ist das jüngste Anzeichen dafür, dass das Finanzministerium zunehmend bereit ist, seine Autorität zu nutzen, um die mit verschiedenen Aktivitäten der Cyberkriminalität verbundenen finanziellen Ressourcen einzuschränken. Anfang dieses Monats nahm das Office of Foreign Asset Control (OFAC) der Behörde in einem Fall, in dem es um Bemühungen russischer Online-Trollfarmen zur Beeinflussung der Zwischenwahlen 2018 ging, drei russische Staatsangehörige und eine Reihe von Kryptogeld-Adressen in seine Sanktionslisten auf.
Im Juni ging das OFAC gegen sechs nigerianische Staatsangehörige vor, die verdächtigt wurden, durch Betrug im Rahmen von Business Email Compromise und Romanzenbetrug 6 Millionen Dollar von US-Unternehmen und Einzelpersonen gestohlen zu haben.
Außerdem sanktionierte das OFAC im Jahr 2019 17 Mitglieder, die angeblich mit der „Evil Corp.“ in Verbindung stehen, einem osteuropäischen Syndikat für Cyberkriminalität, das in den letzten zehn Jahren über 100 Millionen Dollar von kleinen Unternehmen über bösartige Software gestohlen hat.