Früher prahlten Hacker aufmerksamkeitsheischend mit ihren Lamborghinis – heute agieren sie sehr viel geschäftsorientierter mit ihren kriminellen Erlösen und eröffnen Begin-ups, Eating places oder Coding-Schulen. Das ist eines der zentralen Ergebnisse einer aktuellen Untersuchung der Cybersecurity-Experten von Sophos X-Ops. Die Analyse zeigt: Cyberkriminelle investieren ihre unlawful erworbenen Gewinne gezielt in reale Unternehmen; oftmals mit legaler Fassade, zunehmend aber auch als langfristige, strategische Investments. Sie werden Arbeitgeber, Geschäftsleute, Investoren und damit unsichtbarer denn je.
Vom Hack zur Holding: kriminelle Gewinne nehmen den Weg in reale Märkte
Durch Ransomware-Angriffe, Datendiebstahl oder Phishing generieren Hackergruppen Millionenbeträge, meist in Type von Kryptowährungen. Die Frage, was danach mit dem Geld geschieht, wurde bislang kaum beleuchtet. Sophos hat nun untersucht, wie diese Gruppen ihre Gewinne nutzen und dabei ein globales Netzwerk aus scheinbar legitimen Unternehmen entdeckt, die auf den zweiten Blick von digitaler Kriminalität finanziert zu sein scheinen.
„Wir sprechen hier nicht mehr nur über klassische Geldwäsche“, sagt John Shier, Area CISO bei Sophos. „Was wir sehen, ist eine neue Type unternehmerischer Kriminalität – kriminelle Akteure, die sich als seriöse Geschäftsleute ins echte Wirtschaftsleben integrieren.“
Zwischen Begin-up, Schattenwirtschaft und Geldwäsche
In vielen Fällen nutzen die Täter bekannte Kanäle wie Telegram oder WhatsApp Enterprise, um Geschäftskontakte zu knüpfen und Investitionen zu tätigen. Die Unternehmensgründungen erfolgen dabei häufig mit professionellem Markenauftritt, investorenfähigem Geschäftsmodell und echter wirtschaftlicher Tätigkeit. Zumindest auf dem Papier.
Besonders häufig investieren Cyberkriminelle in:
- Cybersecurity-Begin-ups und IT-Dienstleister, oft, um gezielt Wissen oder Infrastruktur für weitere Angriffe zu sichern.
- Immobilienprojekte, Aktien oder Edelmetalle wie Gold und Diamanten, bevorzugt in stabilen Rechtsräumen wie der Schweiz, den USA oder den Emiraten.
- NGOs, Bildungseinrichtungen oder Gastronomiebetriebe, um unter dem Radar zu agieren, z. B. durch den Aufbau von Coding-Schulen oder scheinbar gemeinnützigen Bildungsprojekten.
- Alkohol- und Tabakvertrieb, Eating places, Bars – additionally klassische Branchen mit Bargeldumlauf und geringer Kontrolle.
Die dunkle Seite des Unternehmertums
Neben legalen Investitionen identifizierte Sophos X-Ops auch zahlreiche Beispiele im Graubereich – und klar kriminelle Geschäftsmodelle. Dazu zählen:
- Bot- und Anzeigenbetrug, mit dem Werbeeinnahmen manipuliert werden.
- Pornografische Plattformen und Webcam-Studios, u. a. auf OnlyFans, häufig mit verschleierten Finanzierungsquellen.
- On-line-Casinos und Glücksspieldienste, oft mit Offshore-Registrierung.
- Anbieter für illegale Staatsbürgerschaften oder gefälschte Dokumente, v. a. über Plattformen in Asien und dem Mittleren Osten.
- Pharmahändler und gefälschte Medikamente, deren On-line-Outlets kaum von legitimen Anbietern zu unterscheiden sind.
- Schneeballsysteme, Steuerhinterziehung, Insiderhandel mit dem Ziel, das erbeutete Kapital weiter zu vermehren oder zu reinvestieren.
Cybercrime hat sich in den realen Alltag verlagert und erfordert reale Ermittlungen
Die untersuchten Fälle stammen aus nahezu allen Teilen der Welt – mit belegten Aktivitäten u. a. in Großbritannien, der Schweiz, den USA, den Vereinigten Arabischen Emiraten, China, Südkorea und Gibraltar. Die Tätergruppen agieren dabei worldwide, treten aber immer häufiger lokal auf – z. B. als Restaurantbetreiber oder Investoren.
„Die Grenzen zwischen digitaler und realer Kriminalität verschwimmen zusehends und genau das macht die Bedrohung so gefährlich. Der einzige Weg, dieses Drawback anzugehen, ist eine verstärkte Zusammenarbeit zwischen Privatwirtschaft und öffentlichem Sektor sowie eine engere Kooperation zwischen Cybersicherheitsfirmen und lokalen Strafverfolgungsbehörden“, so John Shier weiter. „Bedrohungsanalysten müssen ihre Erkenntnisse an lokale Behörden weitergeben, die möglicherweise kriminell unterstützte Operationen zurückverfolgen können. Denn wer heute ein scheinbar legales Unternehmen gründet, kann morgen schon wieder im Netz zuschlagen.“
Die Erkenntnisse von Sophos X-Ops stammen aus einer über mehrere Monate andauernde Analyse von Darknet-Foren, Pockets-Bewegungen und offenen Unternehmensdaten. Den kompletten Report haben die Forscher in der mehrteiligen Artikelserie “Past the kill chain: What cybercriminals do with their cash“ veröffentlicht.
Teil 1: Einführung mit Kontext und Definition wichtiger Begriffe
Teil 2: „Weiße“ (legitime) Geschäftsinteressen
Teil 3: „Graue“ Geschäftsinteressen
Teil 4: Kriminelle Geschäftsinteressen
Teil 5: Auswirkungen, Fazit
