Update Cyberkriminalität: Darknet Märkte in Alarmbereitschaft

Viele der Komponenten, die von Cyberkriminellen gebraucht werden, um Straftaten durchzuführen, werden online im Internet angeboten und verkauft. Diese illegalen Transaktionen finden auf sogenannten Darknet Märkten statt. Hier monetarisieren die Cyberkriminellen wiederum ihre Früchte vergangener „Arbeit“ (Botnets oder gestohlene Anmeldeinformationen).

Im vorangegangen Artikel „Update Cyberkriminalität: Verhaftungen & Anklagen“ listeten wir fast ein Duzend Verhaftungen und andere Strafverfolgungen gegen Cyberkriminelle. In diesem zweiten Teil wollen wir uns genauer mit den Abschaltungen in der undurchsichtigen Cyberwelt beschäftigen. Wir beginnen mit der Zerschlagung von Botnets.

Nieder mit Malware Spamming

Einige der „Waren“, die Cyberkriminelle online ein- und verkaufen, ermöglichen eine großangelegte Verteilung von Spam. Das schafft die Voraussetzung für die Verbreitung von Passwortdiebstahl und gefälschter Antivirus Software.

Kein ISP (Internet Service Provider) wird je die Verteilung von Spam zulassen. Also suchen sich die Cyberkriminellen einfachere Ziele. Spammer kompromittieren einzelne Computer. Sie rekrutieren sie für große Botnets – Ein Netzwerk aus kompromittierten Computerressourcen. Die Bots können Laptops, Workstations, oder Smartphones und Server sein. Ein Botnet wird aktiv durch eine Art Software gesteuert, die als C&C (Command&Control) bekannt ist.

“Botnets nutzen tausende Rechner für die Spamverteilung.“

Botnets nutzen tausende Rechner für die Spamverteilung. Ein sehr bekanntes Botnet aus den letzten Jahren war Kelihos. ESET-Forscher beschreiben die Charakteristik und die initiierten Malware-Kampagnen von Kelihos und seinem Vorläufer Storm in einem technischen PDF-Dokument.

Im April konnte die für Kelihos verantwortliche Person – der russische Programmierer Pyotr Levashov – während des Urlaubs in Spanien festgenommen werden. Levashow war bereits seit 2009 auf dem Radar der US Cybercrime Ermittler. Schon damals wurde ihm der Betrieb des Botnets Storm vorgeworfen.

Kurz nach der Inhaftierung Levashows machten sich Autoritäten der Justiz daran, das Kelihos Botnet zu zerschlagen, indem die schädliche Domain geblockt wurde, um weitere Schäden vorzubeugen.

Zwar gibt es die undurchsichtigen – ehemaligen Kelihos Botnet Clients – Charaktere noch, die Zerschlagung des Botnets dürfte zumindest temporär für eine Verringerung des globalen Spamaufkommens gesorgt haben. Ein schneller Abschluss des Falles Levashow und eine gewichtige Verurteilung (Freiheitsstrafe und Einzug des Vermögens) könnte kriminelle Spammer davon abhalten, weiter den Pfad eines Cyberkriminellen zu beschreiten.

Darknet & Clearnet Terminologie

Für einige ist das Darknet buchstäblich terra incognita. Ein Darknet Market ist ein dezentraler Ort, an dem Güter online gehandelt werden, die der Öffentlichkeit normalerweise nicht zugänglich sind – Drogen, Waffen, Falschgeld, etc. Das FBI nutzt beispielsweise folgende Termini, um das Phänomen zu beschreiben. Zunächst einmal gibt es das Clearnet. Mit diesem sind die allermeisten vertraut. Es beinhaltet das Suchen bei Google oder Bing, oder dient als Informationsquelle (Nachrichten), Kommunikationsmedium (Social Media, Streaming) oder legaler Marktplatz (Online Shopping, Online Banking).




Ein gewisser Teil des Deep Web kann nur mit spezieller Netzwerk-Software (Tor-Browser) erreicht werden. Dieser Teil ist beispielsweise das Darknet – das Paradies für Cyberkriminelle aufgrund hoher Anonymität. Bis vor kurzem konnte man dort noch zwei der größten Darknet Markets – AlphaBay und Hansa – finden. Das FBI hält an seiner Terminologie fest, obwohl für die meisten User eher der Begriff Deep Web geläufig ist.

Darknet Märkte in Alarmbereitschaft

Im Juni konnte eine Vereinigung aus Strafverfolgungsbehörden die Darknet Märkte AlphaBay und Hansa zerschlagen. Die illegalen Marktplätze ermöglichten Menschen, die cyberkriminelle Aktivitäten nachgehen, illegale Waren und Services zu kaufen und zu verkaufen. In vielen Ländern der Erde (auch Deutschland) ist es beispielsweise Privatpersonen untersagt, vollautomatische Schusswaffen zu besitzen. In Deutschland zählen sie zu den Kriegswaffen. Auf illegalen Darknet Marktplätzen (Screenshot 1) können diese allerdings erworben werden.

SCREENSHOT 1

Auch das Anbieten und Kaufen von Schadcode wie Ransomware ist in vielen Rechtsstaaten illegal, aber Darknet Märkte ermöglichen das (Screenshot 2). Wir möchten verdeutlichen, dass der Vertrieb von illegalen Gegenständen, Kinderpornografie, Betäubungsmitteln oder Hacking-Diensten kriminelle Institutionen fördert.

Der Kriminalitätsaspekt von Darknet Markets wird auch durch die anonyme Bezahlweise durch Kryptowährungen wie Bitcoin verstärkt. Transaktionspartner sind damit schwer zurückzuverfolgen. Aus den genannten Gründen sind die Strafverfolgungsbehörden sehr daran interessiert, die Darknet Marktplatzbetreiber zu identifizieren und zu bestrafen.

SCREENSHOT 2

Dunkle Zeiten für das Darknet?

Einige erinnern sich vielleicht noch an die Auflösung des Darknet Marketplace Silk Road im Jahr 2013. Der Darknet Markt war ein Vorläufer von AlphaBay und Hansa. Der Fall war erneut in den Schlagzeilen, als der Erschaffer und Operator Ross Ulbricht zu lebenslanger Haft verurteilt wurde.

Es dauerte nicht lange, da sprossen neue Darknet Märkte als Nachfolger von Silk Road aus dem Boden. Typischerweise besitzen Darknet Märkte mehrere Verkäufer, weswegen hier eher die Rede von einem Darknet Basar sein sollte. Verliert ein Verkäufer seinen virtuellen Verkaufsstand, kann er schnell zu einem anderen Darknet Marketplace wechseln.

Von daher ist es sehr unwahrscheinlich, dass nach der Zerschlagung von AlphaBay und Hansa keine illegalen Waren mehr online verkauft werden. Allerdings haben die Beispiele eine abschreckende Wirkung für etwaige aufstrebende Cyberkriminelle. Auch ihnen kann das Schicksal von Ross Ulbrich nicht ganz entgangen sein. Erst vor kurzem hat sich der kanadische Staatsbürger und AlphaBay-Gründer Alexandre Cazes in Thailand nach seiner Verhaftung erhängt.

Die Art und Weise der Auflösung der beiden Darknet Märkte dürfte aber auch einige Darknet Verkäufer entmutigen. Durch das Studieren der Fluktuation der Kunden ergab sich ein simples Muster. Die Kundschaft wechselte einfach zum nächst größeren Darknet Markt.

Die Strafverfolgungsbehörden gingen wie folgt vor: Die niederländische Polizei übernahm die volle Kontrolle über den Hansa Darknet Marketplace am 20. Juni. Die Behörden ließen den Marktplatz aber offen und beobachteten die Aktivitäten bis zum Abschalten von AlphaBay Anfang Juli.

“Laut CNET stieg der Traffic bei Hansa in Spitzenzeiten um das Achtfache des sonstigen.“

Laut CNET stieg der Traffic bei Hansa in Spitzenzeiten um das Achtfache des sonstigen an. Europol-Direktor Rob Wainwright äußerte sich dazu folgendermaßen: „Wir konnten die kriminellen Aktivitäten identifizierten, unterbinden und neue User aufdecken, die natürlich nach einer neuen Handelsplattform suchten.“

In dem Statement zur Zerschlagung von AlphaBay ließen die US-Behörden keinen Zweifel an der Ernsthaftigkeit der Strafverfolgung solcher kriminellen Aktivitäten: „Die Beschlagnahme und Auflösung des AlphaBay Darknet Marktes und die Anklage und Verhaftung des Gründers sollten eine klare Botschaft abgeben.“ sagte U.S. Rechtsanwalt Phillip A. Talbert vom Eastern District of California. „Wer sich für die Verwaltung einer Darknet Site wie AlphaBay entscheidet, oder für die Nutzung des Markts, muss damit rechnen, von sämtlichen Strafverfolgungsbehörden der Vereinigten Staaten gejagt zu werden.“

Darknet Nachwirkungen?

Von Leuten, die mit der Darknet-Materie vetraut sind, ist immer wieder zu hören, dass das Vertrauen in Darknet Marketplaces vorerst gelitten hat. Viele empfinden Furcht und Misstrauen, was eindeutig von den Strafverfolgungsbehörden beabsichtigt war. (Screenshot 3)

SCREENSHOT 3

Wir sind gespannt, welchen Einfluss die beiden Zerschlagungen auf die Verbreitung von Malware haben – wenn überhaupt. Es ist bekannt, dass auf Darknet Märkten Crimeware-as-a-service, besonders Ransomware-as-a-service angeboten wird. Gibt es eine vorübergehende Schonzeit? Wird ein signifikanter Prozentsatz von Möchtegern-Cyberkriminellen nun beschließen, Zeit und Ressourcen besser in legitime Aktivitäten zu investieren? Werden einschlägige Kriminelle ihrer Operationen in einen anderen Teil des Deep Webs verlagern?

Meiner Meinung nach werden einige Darknet Märkte weiterbetreiben. Räuberische Kriminelle glauben gerne daran, dass sie niemals gefasst werden. Tatsächlich geht den Strafverfolgungsbehörden sogar nur ein kleiner Prozentsatz in die Fänge. (Obwohl die Liste aus dem ersten Teil dieses Artikels doch beträchtlich war.)

SCREENSHOT 4

Unglücklicherweise haben sich im Verlauf der letzten Jahre immer mehr Darknet Märkte herausgebildet. Teilweise treten sie sehr professionell auf, mit schnellen und kundenorientierten Lösungsansätzen, Treuhand und mehrsprachigen Hilfen. (Screenshot 4) Nicht von ungefähr bekommt man den Eindruck, dass einige engagierte Menschen hinter diesen Darknet Marktplätzen stehen.

Ich frage mich nur, wie viele wirklich bereit sind, eine lebenslange Haftstrafe zu riskieren?

Autor Stephen Cobb, ESET

Folgen Sie uns