Einführung
Crypto-Drainer – Malware, die entwickelt wurde, um Kryptowährungen zu stehlen – ist leichter zugänglich geworden, da sich das Ökosystem in ein Software-as-a-Service (SaaS)-Modell verwandelt hat. In einem Bericht vom 22. April enthüllte die Firma für Krypto-Forensik und Compliance, AMLBot, dass viele Anbieter auf ein als Drainer-as-a-Service (DaaS) bekanntes Modell umgestiegen sind. Der Bericht zeigte, dass Malware-Verbreiter einen Drainer bereits für 100 bis 300 USD mieten können.
Cyberkriminalität und ihre Entwicklungen
AMLBot-CEO Slava Demchuk erklärte gegenüber Cointelegraph, dass „der Eintritt in die Welt der Kryptowährungsbetrügereien zuvor ein gewisses technisches Wissen erforderte, was heute jedoch nicht mehr der Fall ist. Unter dem DaaS-Modell ist der Einstieg nicht wesentlich schwieriger als bei anderen Formen von Cyberkriminalität.” Demchuk fügte hinzu, dass angehende Drainer-Nutzer Online-Communities beitreten, um von erfahrenen Betrügern zu lernen, die Anleitungen und Tutorials zur Verfügung stellen. Viele Kriminelle, die zuvor an traditionellen Phishing-Kampagnen beteiligt waren, wechseln nun in den Bereich der Crypto-Drainer.
Cyberkriminalität in Russland – nahezu legal
Demchuk berichtete, dass Gruppen, die Crypto-Drainer als Dienstleistung anbieten, zunehmend professioneller werden und immer mehr traditionellen Unternehmen ähneln:
„Interessanterweise sind einige Drainer-Gruppen so dreist, dass sie sogar Stände auf Branchenkonferenzen aufbauen – CryptoGrab ist ein Beispiel dafür.”
Auf die Frage, wie kriminelle Organisationen Vertretungen zu Veranstaltungen der Informationstechnologie senden können, ohne Konsequenzen, wie etwa Festnahmen, zu fürchten, verwies er auf die laxen Cyberkriminalitätsgesetze in Russland.
„Das kann alles in Jurisdiktionen wie Russland geschehen, wo Hacking im Wesentlichen legalisiert ist, solange man nicht im post-sowjetischen Raum tätig ist,”
so Demchuk. Diese Praxis ist seit Jahren ein offenes Geheimnis in der Cybersecurity-Branche. Die Cybersecurity-Nachrichtenseite KrebsOnSecurity berichtete 2021, dass „fast alle Ransomware-Varianten” ohne Schaden deaktiviert werden, wenn sie auf russische virtuelle Tastaturen stoßen.
Drainer im Aufwind
Demchuk erklärte weiter, dass DaaS-Organisationen in der Regel ihre Kundschaft innerhalb bestehender Phishing-Communities anwerben. Dies umfasst sowohl graue als auch schwarze Hut-Foren im Clearnet (reguläres Internet) sowie im Darknet (Deep Web), Telegram-Gruppen sowie Plattformen des grauen Marktes. Laut Scam Sniffer waren Drainer im Jahr 2024 für Verluste von etwa 494 Millionen USD verantwortlich, was einem Anstieg von 67 % im Vergleich zum Vorjahr entspricht, trotz einer Zunahme der Opfer um 3,7 %. Kaspersky, der Cybersecurity-Riese, berichtet von einer wachsenden Anzahl an Online-Ressourcen, die Drainer gewidmet sind: von 55 im Jahr 2022 auf 129 im Jahr 2024.
Ein Open-Source-Intelligence-Ermittler von AMLBot, der anonym bleiben möchte, teilte Cointelegraph mit, dass sein Team bei der Recherche über Drainer „auf mehrere Stellenangebote gestoßen ist, die speziell darauf abzielten, Entwickler zu gewinnen, um Drainer für Web3-Ökosysteme zu erstellen.” Ein Beispielangebot beschrieb die Funktionen eines Skripts, das Hedera-Token-Geldbörsen leeren würde. Ein anderes Angebot richtete sich in erster Linie an russischsprachige Personen:
„Diese Anfrage wurde ursprünglich auf Russisch verfasst und in einem Telegram-Chat für Entwickler geteilt. Es ist ein klares Beispiel dafür, wie technisches Talent aktiv in oft halböffentlichen Gemeinschaften rekrutiert wird.”
Der Ermittler fügte hinzu, dass solche Anzeigen in Telegram-Chats für Smart-Contract-Entwickler erscheinen. Diese Chats sind zwar nicht privat oder eingeschränkt, haben jedoch meist nur 100 bis 200 Mitglieder. Administratoren löschen entsprechend schnell die als Beispiel angegebene Ankündigung. Dennoch „haben, wie es oft der Fall ist, diejenigen, die es sehen sollten, bereits Notiz genommen und geantwortet.” Diese Art von Geschäft wurde traditionell auf spezialisierten Clearnet-Foren und tiefen Webforen abgewickelt, die über das Tor-Netzwerk zugänglich sind. Der Ermittler erklärte jedoch, dass sich ein Großteil der Inhalte aufgrund von Bestimmungen gegen die Weitergabe von Daten an Behörden nach Telegram verlagert hat.
Nachdem Telegram-CEO Pavel Durov jedoch ankündigte, dass es Daten herausgeben solle, begann der Abfluss zurück zu Tor, da sich dort leichter schützen lässt. Dennoch könnte dies für Cyberkriminelle eine potenzielle Bedrohung darstellen, die möglicherweise nicht mehr relevant ist. Anfang dieser Woche äußerte Durov Bedenken hinsichtlich einer wachsenden Bedrohung für private Nachrichten in Frankreich und anderen EU-Ländern und warnte, dass Telegram lieber bestimmte Märkte verlassen würde, als Verschlüsselungshintertüren zu implementieren, die die Privatsphäre der Nutzer untergraben.
Fazit
Crypto-Drainer, Malware zur Entwendung von Kryptowährungen, stellen eine zunehmend zugängliche Gefahr dar, die es erleichtert, an den Gewinnen der Cyberkriminalität teilzuhaben.
