US-Finanzministerium geht gegen zwei Iraner vor: Mutmaßlich an BTC-Ransomware beteiligt

Das US-Finanzministerium hat zwei Iraner sanktioniert, die mutmaßlich mit der Bitcoin (BTC)-Erpressersoftware SamSam in Verbindung stehen. Das geht aus einer offiziellen Pressemitteilung des Finanzministeriums vom 28. November hervor.

Das US-Finanzministerium OFAC hat am Mittwoch Maßnahmen gegen die beiden Iraner Ali Khorashadizadeh und Mohammad Ghorbaniyan ergriffen. Diesen wird vorgeworfen, Bitcoin in iranische Rials (IRR) umgetauscht zu haben.

Das ist auch das erste Mal, dass Bitcoin-Adressen auf der Sanktionsliste des OFAC öffentlich "bestimmten Personen" zugeordnet werden.

Dem Bericht zufolge dringt die SamSam-Ransomware in die Computernetzwerke von Unternehmen ein und ermöglicht es Kriminellen, Administratorrechte zu erlangen. Daraufhin wird ein Lösegeld in Bitcoin als Gegenleistung für den Netzwerkzugang gefordert. Der Ransomware sind Berichten zufolge mehrere Unternehmen, Regierungsbehörden, Universitäten und Krankenhäuser und damit über 200 Leute zum Opfer gefallen, so das Finanzministerium.

Der OFEC ist es gelungen, zwei Krypto-Adressen der mutmaßlichen iranischen Kriminellen zu identifizieren. Auf diesen seien seit 2013 7.000 Transaktionen in Bitcoin durchgeführt und rund 6.000 BTC bewegt worden, wie es im Bericht heißt.

Khorashadizadeh und Ghorbaniyan sollen zwar mutmaßlich für den Tausch von Krypto und die Einzahlungen von Rials auf iranische Banken verantwortlich sein, aber an dem Ransomware-System sollen auch zwei iranische Akteure beteiligt gewesen sein, die als Hacker fungierten und seit 2015 mehrere Datennetze in den USA, Großbritannien und Kanada mit SamSam infiziert haben.

Im August berichtete das britische Wissenschafts- und Technologiemagazin Wired UK, dass die SamSam-Schöpfer umgerechnet etwa 260.000 Euro pro Monat einnahmen und "niemand konnte herausfinden, wer sie sind". Laut einer Studie des Cybersicherheitsunternehmens Sophos hat SamSam seit seinem Start wohl im Jahr 2015 umgerechnet etwa 5,3 Mio. Euro eingebracht.

Laut Wired UK habe SamSam nichts "besonders Raffiniertes" getan. Er funktionierte ohne eine Automatisierung und mittels einer "altbewährten Hacking-Art". Die Ransomware wurde Berichten zufolge manuell verwaltet, im Gegensatz zu der massiven WannaCry-Ransomware, die im Jahr 2017 Hunderte von britischen Krankenhäusern und Hausärzten ausgeschaltet hatte.