DOJ beschlagnahmt 2,8 Millionen Dollar in Krypto, die mit Zeppelin-Ransomware verbunden sind

Das US-Justizministerium (DOJ) hat am Mittwoch sechs Bundesverfügungen veröffentlicht, die die Beschlagnahme von mehr als 2,8 Millionen Dollar in Kryptowährung sowie 70.000 Dollar in bar und einem Luxusfahrzeug von einem Mann autorisieren, der beschuldigt wird, das berüchtigte und mittlerweile eingestellte Zeppelin-Ransomware-Schema betrieben zu haben.

Laut dem DOJ wird der Verdächtige, Ianis Aleksandrovich Antropenko, im Northern District of Texas wegen Verschwörung zur Begehung von Computerbetrug und -missbrauch, Computerbetrug und -missbrauch sowie Verschwörung zur Begehung von Geldwäsche angeklagt.

„Wie in den veröffentlichten Verfügungen behauptet, sind die Kryptowährung und andere Vermögenswerte Erlöse aus (oder waren an der Geldwäsche der Erlöse aus) Ransomware-Aktivitäten beteiligt“, sagten die DOJ-Beamten in einer Pressemitteilung am Donnerstag.

Bundesanwälte behaupten, dass Antropenko zwischen 2019 und 2022 Zeppelin-Ransomware verwendet hat, um Opfer weltweit zu zielen, darunter Einzelpersonen, Krankenhäuser, Unternehmen und IT-Anbieter in den Vereinigten Staaten.

Konkret verschlüsselten er und seine Komplizen die Daten der Opfer, stahlen sensible Dateien und forderten dann Kryptowährungszahlungen von den Opfern, um den Zugang zu ihren Daten wiederherzustellen, deren Veröffentlichung zu verhindern oder sie dauerhaft zu löschen.

Nachdem er Lösegeldzahlungen gesammelt hatte, versuchte Antropenko angeblich, seine Spuren zu verwischen, indem er die Gelder durch mehrere Kanäle wusch, einschließlich des mittlerweile eingestellten Krypto-Mixing-Dienstes ChipMixer, der 2023 in einer koordinierten internationalen Operation geschlossen wurde. Die Staatsanwälte sagen, er habe auch Krypto in Bargeld umgewandelt und strukturierte Bareinzahlungen vorgenommen – große Summen in kleinere aufzuteilen, um eine Überprüfung durch die Bankenbehörden zu vermeiden.

Bundesagenten stellten die Geldspur mithilfe von Blockchain-Analysen zusammen und identifizierten schließlich Kryptowährungs-Wallets, die mit Ethereum (ETH), USD Tether (USDT) und USD Coin, die mit Antropenko verbunden sind, enthalten waren. Sie verknüpften Binance-Konten auf Antropenkos Namen mit dem Geldwäsche-Schema.

Die FBI-Büros in Dallas und Norfolk sowie die Virtual Assets Unit ermitteln die Ransomware-Aktivitäten von Antropenko. Seit 2020 hat die Computer Crime and Intellectual Property Section (CCIPS) des Justizministeriums angegeben, dass sie über 180 Cyberkriminelle gesichert und Gerichtsbeschlüsse für die Rückgabe von über 350 Millionen Dollar an Opfergeldern erhalten hat.

Laut Beamten werden die von Antropenko beschlagnahmten Vermögenswerte dem digitalen Vermögensreserven der Regierung hinzugefügt, einem System, das durch Exekutivverordnung im März 2025 ins Leben gerufen wurde. Die Reserve soll Kryptowährung verwalten, die durch strafrechtliche Einziehung gesammelt wird, und den Bundesbehörden eine strukturierte Möglichkeit geben, digitale Vermögenswerte, die mit Verbrechen verbunden sind, ordnungsgemäß zu verfolgen und zu verwalten, während die Fälle durch die Gerichte gehen.

„CCIPS und seine Partner haben auch mehrere Ransomware-Gruppen gestört und verhindert, dass Opfer über 200 Millionen Dollar an Lösegeldzahlungen leisten müssen“, fügte das DOJ hinzu.

Über Zeppelin Ransomware

Zeppelin-Ransomware tauchte erstmals Ende 2019 als Ransomware-as-a-Service (RaaS) auf, die aus der VegaLocker/Buran-Ransomware-Familie abgeleitet wurde, mit einem besonderen Fokus auf Gesundheits- und IT-Unternehmen. Während die Gruppe 2021 mit neuen Versionen wieder auftauchte, wurden ihre Operationen bis November 2022 eingestellt.

Sicherheitsforscher gaben später bekannt, dass sie bereits 2020 Zugang zu einem Master-Entschlüsselungsschlüssel erhalten hatten, der vielen Opfern half, ihre Daten kostenlos wiederherzustellen. Im Januar 2024 wurde berichtet, dass der Quellcode der Ransomware auf einem Hacking-Forum für nur 500 Dollar verkauft wurde, was ihren Rückgang und ihre Kommodifizierung signalisierte.