Die Erpressungs-Software "WannaCry" befiel vor drei Monaten praktisch rund um den Erdball Computer – und verschlüsselte die Daten, die darauf gespeichert waren. In der Hoffnung, diese wieder freigeschaltet zu bekommen, zahlten viele Opfer Lösegeld. Gestern wurde nun zum ersten Mal Guthaben von diesen Erpresser-Konten abgehoben.

Das Schadprogramm "WannaCry", das im Mai 2017 Windows-Rechner befiel, war eine Riesensache, erinnert sich unser Netzreporter Michael Gessat: Viele Leute haben von "Cyberwar" gesprochen. Die Erpressungs-Botschaft war plötzlich auf Fahrplananzeigen der Bahn oder auf Kassenautomaten im Parkhaus zu sehen – in vielen Ländern war der Betrieb von Firmen, Behörden oder selbst Krankenhäusern ganz erheblich gestört.

Lösegeld in Bitcoins

Das Lösegeld, das die Opfer für die Freischaltung ihrer Daten rausrücken sollten, musste in Bitcoins gezahlt werden – die Bitcoin-Adressen, also die Kontonummern, waren in der Erpressungssoftware hinterlegt. 

Und da man von außen in die Bitcoin-Blockchain, also in das Kassenbuch der Cyberwährung, reinschauen kann, war schon damals klar: Einige Opfer zahlen da tatsächlich das Lösegeld ein – allerdings viel weniger, als man bei der Anzahl der Betroffenen erwartet hätte.

"Es gab schnell Indizien dafür, dass man trotz Zahlung den Schlüssel für seine Daten eh nicht bekommen würde."
Michael Gessat, Deutschlandfunk-Nova-Netzreporter

Ein Bitcoin-Account ist quasi wie ein Schweizer Nummernkonto: Von außen betrachtet sieht man nur, dass es das gibt, aber nicht, wem es gehört – deswegen ist es natürlich auch bei Cyber-Gaunern so beliebt. 

Die Lösung heißt: Geldwäsche

Sie haben aber das gleiche Problem wie in der analogen Welt: Wenn sie auf ihre kriminell ergaunerte Kohle zugreifen wollen, drohen sie sich dabei zu verraten. 

"Bisher hatte niemand das Geld abgehoben, was dort einging. Bis gestern."
Michael Gessat, Deutschlandfunk-Nova-Netzreporter

Das Magazin Quartz hatte mit einem Bot die Lösegeld-Bitcoinkonten ständig überwacht. Gestern ist da also in mehreren Tranchen das Guthaben abgezogen worden – insgesamt Bitcoin im Wert von rund 140.000 Dollar – jetzt sind die Konten leer. 

Quartz vermutet, dass die Bitcoins jetzt in einen sogenannten Mixing-Dienst eingezahlt werden, wo sie dann mit anderen Zahlungen vermischt werden. Diese Dienste stehen aber gerade unter massiver Beobachtung – in Griechenland ist kürzlich ein russischer Betreiber von so einem Dienst verhaftet worden, wegen Geldwäsche. 

FBI verhaftet Marcus Hutchins

Gestern wurde außerdem der sogenannte "WannaCry-Held" Marcus Hutchins verhaftet. Der Engländer hatte damals eine Art Notausschalter gefunden und die Ausbreitung der Malware gestoppt. Hutchins wurde am Flughafen kurz vor dem Rückflug nach England vom FBI aufgegriffen, er hatte gerade an der Sicherheitskonferenz Defcon in Las Vegas teilgenommen.

"Die Verhaftung steht nicht mit 'WannaCry' in Verbindung – das FBI macht Hutchins für den Bankingtrojaner 'Kronos' verantwortlich."
Michael Gessat, Deutschlandfunk-Nova-Netzreporter

Das FBI hat relativ konkrete Indizien, die aus Darknet-Recherchen stammen. Die Anklageschrift ist online. Es kann natürlich sein, sagt Michael, dass Hutchins zu Unrecht beschuldigt wird. Andererseits sei der Grat zwischen Black- und Whitehat in der Szene natürlich schmal.

"Das sind junge Leute, die nach Anerkennung suchen. Und die entscheiden sich halt irgendwann, ob sie auf der dunklen oder hellen Seite der Macht arbeiten wollen."
Michael Gessat, Deutschlandfunk-Nova-Netzreporter