Cyberangriffe Geldwäsche 2.0: Wie Cyberkriminelle ihre Krypto-Dollar investieren

Experten von Sophos X-Ops haben den Weg des Geldes verfolgt – von Non-Profit bis Non-Legal. Demnach investieren Cyberkriminelle gestohlene Millionenbeträge in legale und illegale Geschäftsmodelle, um mittels Geldwäsche in der realen Welt Fuß zu fassen.

Früher prahlten Hacker um  Aufmerksamkeit heischend mit ihren Lamborghini-Sportwagen. Heute agieren sie sehr viel geschäftsorientierter mit ihren kriminellen Erlösen und eröffnen Start-ups, Restaurants oder Coding-Schulen. Das ist eines der zentralen Ergebnisse einer aktuellen Untersuchung der Cybersecurity-Experten von Sophos X-Ops. Die Analyse zeigt: Cyberkriminelle investieren ihre illegal erworbenen Gewinne gezielt in reale Unternehmen. Die Geldwäsche erfolgt oftmals mit legaler Fassade, zunehmend aber auch als langfristige, strategische Investments. Sie verwandeln sich zu Arbeitgebern, Geschäftsleuten oder Investoren und werden damit unsichtbarer denn je.

Geldwäsche: Kriminelle Gewinne nehmen den Weg in reale Märkte

Durch Ransomware-Angriffe, Datendiebstahl oder Phishing generieren Hackergruppen Millionenbeträge, meist in Form von Krypto-Währungen. Die Frage, was danach mit dem Geld geschieht, wurde bislang kaum beleuchtet. Sophos hat nun untersucht, wie diese Gruppen ihre Gewinne nutzen und dabei ein globales Netzwerk aus scheinbar legitimen Unternehmen entdeckt, die auf den zweiten Blick von digitaler Kriminalität und Geldwäsche finanziert zu sein scheinen. „Wir sprechen hier nicht mehr nur über klassische Geldwäsche. Was wir sehen, ist eine neue Form unternehmerischer Kriminalität – kriminelle Akteure, die sich als seriöse Geschäftsleute ins echte Wirtschaftsleben integrieren“, erklärt John Shier, Field CISO bei Sophos.

Zwischen Start-up, Schattenwirtschaft und Geldwäsche

In vielen Fällen nutzen die Täter bekannte Kanäle wie Telegram oder WhatsApp Business, um Geschäftskontakte zu knüpfen und Investitionen zu tätigen. Die Unternehmensgründungen erfolgen dabei häufig mit professionellem Markenauftritt, investorenfähigem Geschäftsmodell und echter wirtschaftlicher Tätigkeit. Zumindest auf dem Papier. Besonders häufig investieren Cyberkriminelle in folgende Geschäftsfelder:

• Cybersecurity-Start-ups und IT-Dienstleister, oft, um gezielt Wissen oder Infrastruktur für weitere Angriffe zu sichern.
• Immobilienprojekte, Aktien oder Edelmetalle wie Gold und Diamanten, bevorzugt in stabilen Rechtsräumen wie der Schweiz, den USA oder den Emiraten.
• NGOs, Bildungseinrichtungen oder Gastronomiebetriebe, um unter dem Radar zu agieren, z. B. durch den Aufbau von Coding-Schulen oder scheinbar gemeinnützigen Bildungsprojekten.
• Alkohol- und Tabakvertrieb, Restaurants und Bars, also klassische Branchen mit Bargeldumlauf und geringer Kontrolle.

Geldwäsche: Die dunkle Seite des Unternehmertums

Neben legalen Investitionen identifizierte Sophos X-Ops auch zahlreiche Beispiele im Graubereich – und klar kriminelle Geschäftsmodelle. Dazu zählen:

• Bot- und Anzeigenbetrug, mit dem Werbeeinnahmen manipuliert werden.
• Pornografische Plattformen und Webcam-Studios, unter anderem auf OnlyFans, häufig mit verschleierten Finanzierungsquellen.
• Online-Casinos und Glücksspieldienste, oft mit Offshore-Registrierung.
• Anbieter für illegale Staatsbürgerschaften oder gefälschte Dokumente, vor allem über Plattformen in Asien und dem Mittleren Osten.
• Pharmahändler und gefälschte Medikamente, deren Online-Shops kaum von legitimen Anbietern zu unterscheiden sind.
• Schneeballsysteme, Steuerhinterziehung und Insiderhandel mit dem Ziel, das erbeutete Kapital weiter zu vermehren oder zu reinvestieren.

Cybercrime hat sich in den realen Alltag verlagert

Die untersuchten Fälle stammen aus nahezu allen Teilen der Welt – mit belegten Aktivitäten u. a. in Großbritannien, der Schweiz, den USA, den Vereinigten Arabischen Emiraten, China, Südkorea und Gibraltar. Die Tätergruppen agieren dabei international, treten aber immer häufiger lokal auf – beispielsweise als Restaurantbetreiber oder Investoren.

„Die Grenzen zwischen digitaler und realer Kriminalität verschwimmen zusehends und genau das macht die Bedrohung so gefährlich. Der einzige Weg, dieses Problem anzugehen, ist eine verstärkte Zusammenarbeit zwischen Privatwirtschaft und öffentlichem Sektor sowie eine engere Kooperation zwischen Cybersicherheitsfirmen und lokalen Strafverfolgungsbehörden“, so John Shier weiter. „Bedrohungsanalysten müssen ihre Erkenntnisse an lokale Behörden weitergeben, die möglicherweise kriminell unterstützte Operationen zurückverfolgen können. Denn wer heute ein scheinbar legales Unternehmen gründet, kann morgen schon wieder im Netz zuschlagen.“

Die Erkenntnisse von Sophos X-Ops stammen aus einer über mehrere Monate angelegter Analyse von Darknet-Foren, Wallet-Bewegungen und offenen Unternehmensdaten. Den kompletten Report haben die Forscher in einer fünfteiligen Artikelserie „Beyond the kill chain: What cybercriminals do with their money“ veröffentlicht:

Teil 1: Einführung mit Kontext und Definition wichtiger Begriffe
Teil 2: „Weiße“ (legitime) Geschäftsinteressen
Teil 3: „Graue“ Geschäftsinteressen
Teil 4: Kriminelle Geschäftsinteressen
Teil 5: Auswirkungen und Fazit

Sophos Active Adversary Report

Cyberangriffe: In 56 Prozent der Fälle Eintritt per Log-in