300.000 Euro Plus

Ransomware: Uni holt Lösegeld mit Gewinn zurück

2019 legte eine Daten verschlüsselnde Ransomware-Attacke die IT-Systeme der Universität Maastricht lahm. Um sicherzustellen, dass Forschung und Lehre weiterlaufen können, zahlte die Uni die geforderten 200.000 Euro.

(Bild: ©normalfx - stock.adobe.com)

Drei Jahre nach einem erpresserischen Ransomware-Angriff auf die Universität Maastricht in den Niederlanden, bei dem 200.000 Euro an eine Cybercrime-Bande gezahlt wurden, haben Ermittler einen Teil des von der Uni für die Entschlüsselung ihrer Daten bezahlten „Lösegelds“ aufgespürt. Das Erstaunliche: Obwohl es sich nur um einen Teil des damals in Bitcoin-Form bezahlten Betrags handelt, macht die Universität Profit.

Der Grund sind die seit dem Ransomware-Angriff 2019 massiv gestiegenen Bitcoin-Preise. Selbst nach den jüngsten Kursstürzen ist ein Bitcoin mit einem Wechselkurs von derzeit nicht ganz 19.000 Euro deutlich mehr wert als zum Zeitpunkt des Hacks im Dezember 2019. Damals kostete ein Bitcoin zwischen 6000 und 7000 Euro, entsprechend viele Einheiten der digitalen Währung musste die Uni den Erpressern bezahlen.

Ermittler spürten Geld in der Ukraine auf
Die Universität hatte nach der Zahlung des Lösegelds, die sicherstellen sollte, dass der Betrieb in Forschung und Lehre weitergehen konnte, Anzeige erstattet. Einige Monate nach dem Hack konnten Ermittler einen Teil des Lösegelds in der Ukraine ausfindig machen: Dort wurden Teile der bezahlten Bitcoins im digitalen Börsel (Wallet) eines Geldwäschers geparkt.

Gewinn soll in Studenten-Sozialfonds fließen
Es dauerte weitere zwei Jahre, bis die Ermittler Zugriff auf das Wallet erhielten und einen Teil der 2019 bezahlten Bitcoins zurückholen konnten. Durch die seither realisierten Kursgewinne übersteigt der Wert dieses Teilbetrags die 200.000 Euro, die damals gezahlt wurden. Bei den derzeitigen Kursen sind die nachverfolgten Bitcoins bis zu 500.000 Euro wert.

Noch muss die Rückzahlung gerichtlich freigegeben werden, das sollte aber nur mehr eine Formsache sein. Den unverhofften Gewinn will die Universität in einen Sozialfonds für bedürftige Studenten einzahlen.

Kryptogeld ist nicht so anonym, wie viele denken
Dass Ransomware-Lösegelder nachverfolgt und zurückgeholt werden, kommt immer wieder vor: So gelang es vergangenes Jahr etwa US-Ermittlern nach dem Angriff auf einen großen Pipeline-Betreiber, einen Teil des gezahlten Lösegelds sicherzustellen.

Dabei machen sich die Ermittler zu Nutze, dass Kryptowährungen nicht so anonym sind, wie die kriminellen Nutzer oft denken. Über die dezentrale Blockchain-Buchhaltung, die sämtliche Transaktionen protokolliert, lassen sich die Geldbewegungen relativ gut nachverfolgen.