Die Zentrale Kriminalpolizei Finnlands (Keskusrikospoliisi, KRP) hat den Erpresser einer finnischen Klinik für psychische Krankheiten identifiziert. Die Spur des Geldes führte auch über Monero. Haben finnische Forensiker die angeblich anonyme Kryptowährung geknackt?
MTV Oy, Finnlands führender Privatsender, nennt es eine „große Enthüllung“: die Zentrale Kriminalpolizei KRP hat den Vastaamo-Hacker überführt, indem sie der Spur seines Geldes gefolgt ist, die auf dem privaten Bankkonto des Finnen Aleksanteri Kivimäki endete.
Vastaamo ist eine private psychiatrische Klinik, die im Herbst 2020 von einer Ransomware infiziert wurde. Dabei gelangten die hochsensiblen Daten von 40.000 Patienten in die Hände des Hackers. Er verlangte zunächst 40 Bitcoin, was zu dieser Zeit etwa 400.000 Euro waren. Nachdem die Klinik die Zahlung verweigert hatte, kontaktierte er einzelne Patienten und forderte 200 Euro in Bitcoin, um die Veröffentlichung der Daten zu verhindern.
Wie sie der Spur des Geldes konkret gefolgt ist, verrät die KRP nur auszugsweise. Sie habe 0,1 Bitcoin an eine Adresse gesendet, die der Erpresser in einem Schreiben genannt hatte. Die Polizei verfolgte die Spur dieses Geldes weiter, die erst zu anderen Adressen führten, dann zu einer KYC-freien Börse, auf der die Bitcoins gegen Monero gewechselt wurden. Diese Information hat die KRP offenbar von der Börse selbst erhalten.
Dann wird es spannend: Irgendwie ist es der KRP gelungen, die Spur an dieser Stelle nicht abbrechen zu lassen, sondern zur Börse Binance zu verfolgen, wo der Hacker mithilfe von zwei Accounts die Monero gegen Bitcoin und diese gegen Euro wechselte, welche schließlich über mehrere „Money Mules“ im Bankkono von Julius Aleksanteri Kivimäki landeten.
Wie genau dies möglich war, sagt die Polizei aber nicht. Laut MTV Oy will sie weder Kriminellen noch sonst jemandem verraten, wie die anonyme Kryptowährung nachverfolgt wurde.“ Es war, erfährt man immerhin, „nicht einfach“; die Methode war „heuristisch“, so dass sie keinen konkreten Beweis erbringt, sondern eher Hinweise, über die man weiterforschen kann.
Auch klassische Ermittlungen scheinen eine Rolle gespielt zu haben, etwa als die Polizei einen Estländer vernahm, der irgendwie in die Transaktionsströme involviert war, oder als sie bei den „Money Mules“ nachforschte, deren Überweisungen schließlich im Bankkonto von Kivimäki zusammenliefen. Sie gibt sich aber überzeugt, einen Beweis führen zu können.
Kivimäkis Anwalt widerspricht: Er bestreitet die Gültigkeit der Beweise, denn es sei nicht möglich, die Transaktionsströme wie von der Polizei behauptet zu erhellen. Daher dementiert der Beschuldigte die gesamte Anklage.
Die Monero-Community ist ob dieser Nachricht skeptisch. Ein ehemaliges Mitglied des MAGIC Monero Funds, Csilla Brimer, meint, dass nicht Monero selbst gebrochen sei, doch beim wiederholten Tausch gegen Bitcoin unerwünschte Informationen entweichen können. Wenn man ohne tiefere Sachkenntnis und einem guten System-Setup Bitcoins gegen Monero tauscht – vermutlich als eine Art Atomic Swap – „entstehen wahrscheinlich Informationen.“
Eventuell meint Brimer damit einen „Eve-Alice-Eve“-Angriff, durch den Chainalysis die Urheber der WannaCry-Ransomware-Welle identifiziert haben. Auch hier war der Wechsel gegen Bitcoin über die (damals) KYC-freie Börse Shapeshift der Schlüssel.