PwC: Bitcoin-Ransomware-Hacker haben Geld über WEX gewaschen

Die Big-Four-Beratungs- und Wirtschaftsprüfungsgesellschaft PwC hat zwei Iraner, die hinter der Bitcoin (BTC)-Erpressungssoftwareprogramm SamSam stecken, mit der Kryptobörse WEX in Verbindung gebracht. Das geht aus einem kürzlichen Bericht hervor, der im Februar veröffentlicht wurde.   

Der Bericht beruft sich auf Informationen, die zuvor vom US-Justizministerium (DoJ) veröffentlicht wurden. Laut dem DOJ hätten zwei Iraner, nämlich Faramarz Shahi Savandi und Mohammad Mehdi Shah Mansouri, SamSam entwickelt. SamSam ist eine Erpressungssoftware, die Bitcoin als Lösegeld fordert. Berichten zufolge sollen mehrere US-Unternehmen, Regierungsbehörden, Universitäten und Krankenhäuser dieser zum Opfer gefallen sein. Innerhalb von 34 Monaten gelang es den Hackern, umgerechnet über 5,3 Mio. Euro in Bitcoin zu erpressen. Dabei haben sie Verluste in Höhe von über 26,6 Mio. Euro verursacht.

Die OFAC, eine Abteilung des US-Finanzministeriums, die für die Kontrolle von Fremdvermögenswerten zuständig ist, hat Sanktionen gegen zwei weitere Iraner, nämlich Mohammad Ghorbaniyan und Ali Khorashadizadeh, verhängt. Sie betrieben mutmaßlich iranische Kryptobörsen, die Savandi und Mansouri dabei halfen, die über SamSam erpressten BTC einzutauschen.

Nach einer Analyse der Wallet-Adressen und von E-Mails der US-Regierung kam PwC zu dem Schluss, dass Khorashadizadeh und Ghorbaniyan mit der Kryptobörse WEX in Verbindung stehen könnten.

WEX war zuvor als BTC-e bekannt. Im September 2017 kam es dann zu einer Umbenennung. Die Börse wurde umbenannt, um sich von einer Geldwäsche-Untersuchung zu distanzieren, die im Juli desselben Jahres zur Schließung von BTC-e geführt hatte. PwC erklärte außerdem, dass BTC-e am Umtausch von mindestens 1,7 Mio. Euro beteiligt gewesen sei, die im Zusammenhang mit SamSam stehen:

"Es ist bekannt, dass BTC-e an der Wäsche von etwa 4 Mrd. US-Dollar (3,5 Mrd. Euro) und an der Auszahlung von 95 Prozent aller Ransomware-Zahlungen von 2014 bis 2017 beteiligt gewesen ist. Davon kamen 1,9 Mio. US-Dollar (1,7 Mio. Euro) von der SamSam-Erpressungssoftware."

Darüber hinaus beruft sich PwC auf eine weitere Untersuchung, die Bitcoin-Transaktionen auf BTC-e mit dem russischen Geheimdienst GRU in Verbindung bringt. Wie Bloomberg bereits 2018 berichtete, sollen sowohl BTC-e als auch GRU mit einer anderen großen Cyberspionage-Gruppe namens "Fancy Bear" in Verbindung stehen, die mutmaßlich mit einem Cyberangriff auf das Demokratische Nationalkomitee vor den US-Präsidentschaftswahlen 2016 in Verbindung gebracht wurde.

Wie Cointelegraph bereits berichtete, wurde Alexander Vinnik, der mutmaßliche ehemalige Betreiber der nun stillgelegten Börse BTC-e, bereits im Juli 2017 von der griechischen Polizei festgenommen, da das DOJ ihm Betrug und Geldwäsche vorwarf. Russische Menschenrechtler haben die Auslieferung von Vinnik in sein Heimatland erbeten, nachdem es gesundheitliche Komplikationen gab, zu denen es aufgrund eines monatelangen Hungerstreiks kam.