Ausgeklügeltes Schweineschlachten – Sophisticated pig butchering

Die Sha-Zhu-Pan-Betrüger nutzen für ihr so genanntes Pig Butchering inzwischen ein Geschäftsmodell, das dem „Cybercrime-as-a-Service“ ähnelt. Dabei verkaufen die Betrüger Sha-Zhu-Pan-Kits im Dark Web auf der ganzen Welt und expandieren so in neue Märkte. Sophos beschreibt diese Operationen (auch bekannt als Pig Buchtering) in dem Artikel „Cryptocurrency Scams Metastasize into New Forms“. Die neuen Sets stammen von Banden des organisierten Verbrechens in China und stellen die technischen Komponenten bereit, die für die Umsetzung eines speziellen Pig-Butchering-Programms namens „DeFi savings“ benötigt werden. Die Kriminellen stellen DeFi-savings als passive Anlagemöglichkeiten dar, die Geldmarktkonten ähneln. Die Opfer müssen lediglich ihre Krypto-Wallets mit einem Maklerkonto verbinden, in der Erwartung, dass sie mit ihrer Investition beträchtliche Zinsen verdienen werden. In Wirklichkeit fügen die Opfer ihren Krypto-Wallets einem betrügerischen Handelspool für Kryptowährung hinzu, wo sie von den Kriminellen geleert werden.

Das Betrugsmodell professionalisiert sich ähnlich wie andere Angriffsarten

„Als das Pig Butchering zum ersten Mal während der COVID-Pandemie auftrat, waren die technischen Aspekte der Betrügereien noch relativ primitiv und es erforderte großen Aufwand, um die Opfer erfolgreich zu täuschen“, erläutert Sean Gallagher, Principal Threat Researcher bei Sophos. „Doch die Gauner haben ihre Techniken verfeinert und wir sehen eine ähnliche Entwicklung wie bei Ransomware und anderen Arten von Cyberkriminalität in der Vergangenheit: die Entwicklung eines As-a-Service-Modells. Pig-Butchering-Banden erstellen fertige DeFi-App-Kits, die andere Cyberkriminelle im Dark Web kaufen können. Infolgedessen tauchen in Gebieten wie Thailand, Westafrika und sogar in den USA neue Verbrecherringe auf, die nicht mit den chinesischen Gruppen in Verbindung stehen. Wie bei anderen Arten von kommerzieller Cyberkriminalität senken diese Kits die Einstiegshürden für Cyberkriminelle und vergrößern den potentiellen Opferpool erheblich. Im vergangenen Jahr stellte diese Methode bereits ein milliardenschweres Betrugsphänomen dar und wird voraussichtlich in diesem Jahr exponentiell wachsen.“

Pig Butchering hat eine steile Karriere genommen

Sophos X-Ops verfolgt seit zwei Jahren die Entwicklung des Pig Butcherings. Bei den ersten Varianten – von Sophos als „CryptoRom“ bezeichnet – wurden potenzielle Opfer über Dating-Apps kontaktiert und anschließend dazu gebracht, betrügerische Krypto-Handelsanwendungen von Drittanbietern herunterzuladen.

Im Jahr 2022 fanden die Betrüger Wege, die App-Store-Prüfverfahren zu umgehen, um ihre betrügerischen Apps in den legitimen App Store und Google Play Store zu schleusen. Im selben Jahr tauchte auch ein neues Betrugsmuster auf: gefälschte Kryptowährungshandelspools (Liquidity Mining).

Zwei riesige Pig-Butchering-Ringe mit Sitz in Hongkong und in Kambodscha deckte Sophos X-Ops im Jahr 2023 auf. Diese Banden nutzten legitime Krypto-Handels-Apps und erstellten Fake-Personen, um Opfer anzulocken. Weitere Untersuchungen ergaben, dass die Gauner ihr Arsenal auch um KI erweiterten.

Ende 2023 spürten Sophos X-Ops eine umfangreiche Liquiditätssuche auf, an der drei verschiedene chinesische organisierte Verbrecherringe beteiligt waren, die es auf fast 100 Opfer abgesehen hatten. Hierbei konnten Sophos X-Ops auch zum ersten Mal die Verfügbarkeit von Betrugskits für das Pig Butchering nachweisen.

Der Höhepunkt: Die Zeiten des aufwendigen Opfer-Umschmeichelns sind passé

Bei den jüngsten von Sophos X-Ops untersuchten Pig-Butchering-Fällen haben die Betrüger alle früheren technologischen Hindernisse beseitigt und den Aufwand für Social Engineering deutlich verringert. Bei dem DeFi-saving-Betrug beteiligen sich die Opfer nun am betrügerischen Krypto-Handel über legitime, bekannte Kryptowährungs-Apps und gewähren den Betrügern (wenn auch unwissentlich) direkten Zugriff auf ihre Geldbörsen. Darüber hinaus können die Betrüger das Wallet-Netzwerk verbergen, das die gestohlenen Kryptowährungen wäscht, was es den Strafverfolgungsbehörden erschwert, den Betrug zu verfolgen.

„Der DeFi-saving-Betrug ist der Höhepunkt der vergangenen zwei Jahre, in denen die Pig-Butchering-Betrüger ihr Vorgehen verfeinert haben. Vorbei sind die Zeiten, in denen die Betrüger ihre Opfer überzeugen mussten, eine App herunterzuladen oder die Kryptowährung selbst in eine gestohlene digitale Geldbörse zu transferieren“, so Gallagher. „Die Gangster haben auch gelernt, wie sie ihre Machenschaften besser vermarkten können. Sie nutzen die Funktionsweise von Liquiditäts-Mining-Pools, um Gelder zu stehlen, indem sie den Opfern erzählen, es handele sich um ein einfaches Anlagekonto. Die Opfer sind so einfacher zur Investition zu bewegen, da die meisten den Handel mit Kryptowährungen nicht verstehen und obendrein alles unter dem Deckmantel vertrauenswürdiger Marken geschieht. Mit anderen Worten: Noch nie war es so einfach, Opfer eines Pig-Butchering-Betrugs zu werden, und noch nie war es so wichtig, sich der Existenz dieser Betrügereien bewusst zu sein und zu wissen, worauf man achten muss.“

Pig-Butchering-Betrug verhindern

Um zu verhindern, Opfer eines Pig-Butchering-Betrugs zu werden, empfiehlt Sophos folgende Maßnahmen:

• Skeptisch gegenüber Fremden sein, die sich über soziale Netzwerke wie Facebook oder per SMS melden. Vor allem dann, wenn sie das Gespräch schnell in einen privaten Messenger wie WhatsApp verlegen wollen.
  • Dies gilt auch für neue Matches auf Dating-Apps und insbesondere dann, wenn der Fremde beginnt, über den Handel mit Kryptowährungen zu sprechen.
• Misstrauisch sein gegenüber allen „Schnell-reich-werden“-Angeboten oder Kryptowährungs-Investitionsmöglichkeiten, die große Gewinne in kurzer Zeit versprechen.
• Sich mit den Verlockungen und Taktiken von Romantik– und Anlagebetrügereienvertraut machen. Non-Profit-Organisationen wie das Cybercrime Support Network bieten hierfür viele Informationen.
• Mögliche Pig-Butchering-Opfer sollten sofort alle Gelder aus den betroffenen Geldbörsen abheben und die Strafverfolgungsbehörden kontaktieren.

The Sha-Zhu-Pan scammers are now using a „cybercrime-as-a-service“ business model for their so-called pig slaughtering. The fraudsters are selling Sha-Zhu-Pan kits on the dark web around the world and expanding into new markets. Sophos describes these operations (also known as pig butchering) in an article entitled „Cryptocurrency scams metastasize into new forms“. The new kits originate from organized crime gangs in China and provide the technical components needed to implement a special pork-barrel scheme called „DeFi savings“. Criminals present DeFi Savings as a passive investment opportunity similar to a money market account. Victims simply need to link their crypto wallets to a brokerage account and expect to earn substantial interest on their investment. In reality, victims add their crypto wallets to a fraudulent cryptocurrency trading pool where they are drained by criminals.

The fraud model is professionalizing, similar to other types of attacks

„When pig slaughtering first appeared during the COVID pandemic, the technical aspects of the scams were relatively primitive and it took a lot of effort to successfully fool victims,“ said Graham Cluley, senior security researcher at Sophos. „But the crooks have refined their techniques and we’re seeing a similar evolution to ransomware and other types of cybercrime in the past: the development of an as-a-service model. Pig-butchering gangs are creating ready-made DeFi app kits that other cybercriminals can buy on the dark web. As a result, new crime rings unaffiliated with the Chinese groups are popping up in places like Thailand, West Africa, and even the US. As with other types of commercial cybercrime, these kits lower the barriers to entry for cybercriminals and significantly increase the pool of potential victims. Last year, this method was already a billion-dollar fraud phenomenon and is expected to grow exponentially this year.

Pig butchering has had a stellar career

Sophos X-Ops has been tracking the development of Pig Butchering for two years. The first variants – dubbed „CryptoRom“ by Sophos – involved potential victims being contacted via dating apps and then tricked into downloading fraudulent third-party crypto trading applications.

In 2022, fraudsters found ways to bypass app store verification procedures to sneak their fraudulent apps into the legitimate App Store and Google Play Store. In the same year, a new fraud pattern emerged: fake cryptocurrency trading pools (liquidity mining).

Two major pork-butchering rings based in Hong Kong and Cambodia were uncovered by Sophos X-Ops in 2023. These gangs used legitimate crypto trading applications and created fake personas to lure victims. Further investigation revealed that the crooks were also adding AI to their arsenal.

In late 2023, Sophos X-Ops uncovered a large-scale liquidity search involving three different Chinese organized crime rings targeting nearly 100 victims. Sophos X-Ops also detected the availability of pig slaughter fraud kits for the first time.

The highlight: The days of elaborate victim flattery are over

In the latest Pig Butchering cases investigated by Sophos X-Ops, the fraudsters have removed all previous technological barriers and significantly reduced the amount of social engineering required. In the DeFi-Saving scam, victims now participate in fraudulent cryptocurrency trading via legitimate, well-known cryptocurrency applications, giving the scammers direct access to their wallets (albeit unknowingly). In addition, the scammers are able to hide the wallet network laundering the stolen cryptocurrency, making it difficult for law enforcement to prosecute the fraud.

„The DeFi Savings scam is the culmination of the past two years, during which time scammers have refined their approach. Gone are the days when fraudsters had to convince their victims to download an app or transfer the cryptocurrency themselves into a stolen digital wallet,“ said Gallagher. „The gangsters have also learned how to better market their schemes. They’re using the way liquidity mining pools work to steal funds by telling victims it’s a simple investment account. This makes it easier to convince victims to invest, as most do not understand cryptocurrency trading, and it is all done under the guise of trustworthy brands. In other words: It’s never been easier to fall victim to a pork-barrel scam, and it’s never been more important to be aware of the existence of these scams and what to look out for.“

Preventing pig butchering scams

To avoid falling victim to a pig butchering scam, Sophos recommends the following actions

– Be sceptical of strangers who contact you via social networking sites such as Facebook or by text message. Especially if they try to quickly move the conversation to a private messenger such as WhatsApp.

o This also applies to new matches on dating apps, and especially if the stranger starts talking about trading cryptocurrencies.

– Be suspicious of any „get rich quick“ offers or cryptocurrency investment opportunities that promise large profits in a short period of time.

– Familiarize yourself with the lure and tactics of romance and investment scams. Non-profit organizations such as the Cybercrime Support Network provide a wealth of information.

– Potential Pig Butchering victims should immediately withdraw all funds from affected wallets and contact law enforcement.