Eine deutliche Zunahme des Diebstahls von Kryptowährungen hat das Blockchain-Analyse-Unternehmen Chainalysis in diesem Jahr ausgemacht. Digitales Geld im Wert von umgerechnet 2,2 Mrd. Dollar haben Hacker erbeutet, gut ein Fünftel mehr als im Jahr 2023. Auch die Zahl der Hacks stieg im Vergleich mit dem Vorjahr von 282 auf nun 303. Das geht aus dem jährlichen Crypto Crime Report der US-Firma hervor. Mit den Höchstständen der Jahre 2021 und 2022 können die Beträge allerdings nicht mithalten. Damals hatten Kriminelle umgerechnet 3,3 Mrd. und 3,7 Mrd. Dollar erbeutet.

Angesichts des Booms von Kryptogeld dürfte der aktuell in Dollar umgerechnete Wert noch deutlich höher liegen, was die Lukrativität des Krypto-Diebstahls zusätzlich erhöht. War beispielsweise ein Bitcoin vor drei Monaten gut 63.000 Dollar wert, so übertraf der Wert jüngst die 100.000-Dollar-Schwelle und liegt nun wieder leicht darunter.

Mehr als die Hälfte der Beute aus den Online-Raubzügen geht auf das Konto nordkoreanischer Hacker - so viel wie nie zuvor. Kryptowährungen im Wert von 1,34 Mrd. Dollar, doppelt so viel wie 2023, haben sie Chainalysis zufolge in diesem Jahr im Zuge von 47 Angriffen gestohlen. Seinerzeit entwendeten Hacker, die mit Nordkorea in Verbindung stehen, in 20 Attacken rund 660 Mill. Dollar. Dabei fanden Chainalysis zufolge die meisten Angriffe zu Beginn des Jahres statt, wohingegen die Hackeraktivitäten im dritten und im bisherigen Verlauf des vierten Quartals stagnierten. Das könne sich allerdings in den letzten Tagen des Jahres noch ändern, da Kriminelle gerne an Feiertagen zuschlagen, weil die Cybersecurity in Unternehmen und Behörden dann ausgedünnt ist.

Als ein Beispiel führt Chainalysis einen Hack der japanischen Kryptowährungsbörse DMM Bitcoin an. Angriffe auf Schwachstellen in der von DMM genutzten IT-Infrastruktur haben demnach zum Verlust von etwa 4.500 Bitcoins geführt, die damals 305 Mill. Dollar wert waren. Mit drastischen Folgen: „Das Ausmaß der Sicherheitsverletzung und die anschließenden operativen Herausforderungen veranlassten DMM, die Börse im Dezember 2024 zu schließen“, heißt es in dem Bericht.

Die erbeuteten Kryptogelder dienen nach Erkenntnissen von Chainalysis der Aufrüstung Nordkoreas, vor allem der Finanzierung von Massenvernichtungswaffen und ballistischen Raketenprogrammen. Dass die seit Juli von Nordkoreanern gestohlenen Beträge schlagartig um 54% zurückgegangen seien, könne dem US-Analyseunternehmen zufolge im Zusammenhang stehen mit dem Gipfeltreffen Ende Juni zwischen dem russischen Präsidenten Wladimir Putin und dem nordkoreanischen Staatschef Kim Jong Un in Pjöngjang.

Möglich sei, befindet Chainalysis, dass Nordkorea nicht nur seine militärischen Ressourcen auf den Konflikt in der Ukraine umgestellt, sondern auch seine cyberkriminellen Aktivitäten geändert habe. Im Gefolge des Gipfeltreffens habe Russland Millionen Dollar an nordkoreanischen Vermögenswerten freigegeben, die UN-Sanktionen unterliegen. Die beiden Staaten gingen einen gegenseitigen Verteidigungspakt ein, dem die Entsendung von nach aktuellem Stand geschätzt 12.000 nordkoreanischen Soldaten in den russischen Krieg gegen die Ukraine folgte und die Lieferung von ballistischen Raketen nach Russland. Nordkorea erhielt im Gegenzug die einst eingefrorenen Gelder und hat offenbar Raumfahrt-, Raketen- und U-Boot-Technologie von Moskau angefordert.

Zumindest einige Krypto-Diebstähle seien auf nordkoreanische Insider-Täter zurückzuführen, heißt es. Chainalysis warnt vor entsprechender, zunehmender Infiltration von IT-Unternehmen, die in den Bereichen Blockchain und Kryptowährungen unterwegs sind. „Diese Mitarbeiter verwenden oft ausgeklügelte Taktiken, Techniken und Verfahren, wie zum Beispiel falsche Identitäten, die Anwerbung von Dritten und die Manipulation von Remote-Arbeitsmöglichkeiten, um Zugang zu erhalten“, heißt es im Report.

Auch hierzulande bieten nordkoreanische Hacker unter falscher Identität ihre Dienste an, sei es im Finanzsektor, im Gesundheitswesen oder in der Unterhaltungsindustrie. Das Bundesamt für Verfassungsschutz hat im Oktober eine entsprechende Warnung ausgesprochen. „Nordkoreanische Nachrichtendienste führen weltweit offensive Cyberoperationen zur Devisenbeschaffung durch. Dabei setzen sie unter anderem auf den Einsatz getarnter IT-Fachkräfte (IT-Worker), die ihre Dienstleistungen durch Telearbeit Unternehmen rund um den Globus anbieten“, heißt es. Um ihre Herkunft zu verschleiern, nutzen sie demnach gefälschte oder gestohlene Dokumente wie Personalausweise, Reisepässe und Abschlusszeugnisse. Bewerbungsfotos würden bisweilen unter Zuhilfenahme von KI generiert.