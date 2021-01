Kurz nach Abschaltung des größten Darknet-Marktplatzes durch Behörden machen sich kriminelle Akteure auf die Suche nach Alternativen. [...]

Mit dem Aus von DarkMarket ist den deutschen und internationalen Ermittlern ein wichtiger Schlag im Kampf gegen Cyberkriminalität gelungen. Im Dark Web selbst hat die Nachricht vom Ende des „größten illegalen Marktplatzes“ jedoch nur verhaltene Reaktionen hervorgerufen. Das ergeben die ersten Untersuchungen des Threat Intelligence-Anbieters Digital Shadows.

Die Dark Web-Analysten fanden ein Update eines DarkMarket-Moderators, das bereits 48-Stunden vor der offiziellen Meldung durch Europol auf dem Dark-Web-Community-Forum Dread veröffentlicht wurde und von Problemen bei der Kontaktaufnahme mit dem Administrator von DarkMarket berichtet. In der Community wurden danach Vermutung eines Exit-Scams laut. Auch eine Zerschlagung der Plattform wurde diskutiert.

Die verhaltenen Reaktionen überraschen, da DarkMarket vor allem in den letzten zwölf Monaten ein stetiges Wachstum verzeichnete und mit 500.000 Nutzern erst kürzlich einen Meilenstein erreichte. Die rund 2.400 aktiven Verkäufer wickelten dabei Geschäfte im Wert von über 140 Millionen Euro ab. Gehandelt wurde mit Falschgeld, gestohlenen Kreditkartendaten, anonymen SIM-Karten und Malware. Vor allem aber galt DarkMarket als Umschlagplatz für Drogen. Durch die Corona-bedingten Lockdowns mussten auch hier viele Kriminelle ihr Geschäft ins Netz verschieben und Transaktionen über Online-Plattformen im Dark Web tätigen.

„In den letzten Monaten und Jahren ist es internationalen Ermittler-Teams immer wieder gelungen, wichtige Marktplätze zu schließen. In anderen Fällen – wie Empire Market – haben sich die Betreiber selbst aus dem Staub gemacht und das Geld der kriminellen Kundschaft mitgenommen. Das Dark Web scheint sich an diese Dynamik gewöhnt zu haben“, erklärt Stefan Bange, Country Manager DACH bei Digital Shadows. „DarkMarket verzeichnete zwar eine beeindruckende Anzahl aktiver Nutzertransaktionen. Doch der cyberkriminelle Markt hat eine Fülle an alternativen Vertriebskanälen zu bieten und die Dark-Web-Community hat sich als sehr flexibel erwiesen, wenn es darum geht ihre Ware zu verkaufen.“

Nach Recherche von Digital Shadows drehen sich die Diskussionen in Foren und Chats momentan vor allem um alternative Plattformen. Daneben gibt es erste Ankündigungen, die gänzlich neue Marktplätze in Aussicht stellen. Bereits bestehende Marktplätze werben wiederum mit kostenlosen Konten und Benefits um Verkäufer, die mit dem Ende von DarkMarket zu „Flüchtlingen“ geworden sind (ein Begriff, der im Dark Web für Käufer/Anbieter von Offline-Marktplätzen verwendet wird).

Gänzlich unbeeindruckt hinterlässt das Ende von DarkMarket die Dark Web-Community aber nicht. So werfen einige Akteure Nutzern von DarkMarket mangelnde OpSec-Praktiken vor und geben ihnen die Schuld für den Erfolg der Strafverfolgungsbehörden. Der Administrator von Dread forderte die Betreiber von weiterhin aktiven Marktplätzen dazu auf, einen „Proof-of-Life“ zu senden. So könne sichergestellt werden, dass andere Plattformen nicht in ähnlicher Weise kompromittiert wurden und die Dienste weiterhin zur Verfügung stehen.

Der Kampf um Marktplätze im Dark Web

In einem Blog-Beitrag hat Digital Shadows die Maßnahmen gegen illegale Marktplätze der letzten Jahre zusammengefasst.

Im Juli 2017 begannen Behörden aus den USA und den Niederlanden mit der Operation Bayonet. Im Rahmen der Aktion wurden zwei der bekanntesten Umschlagsplätze im Dark Web, AlphaBay und Hansa, beschlagnahmt und die Webseiten deaktiviert.

Vor ihrer Auflösung gehörten Alpha Bay und Hansa zu den wichtigsten Dark Web-Marktplätzen im englischsprachigen Raum. Hunderttausende von Verkäufern und Käufern handelten dort mit illegalen Waren und setzten über eine Milliarde US-Dollar um.

Doch Operation Bayonet war nur der Anfang. Am 7. Mai 2019 wurden bei einer internationalen Operation zwei weitere Marktplätze, Wall Street Marketplace und Valhalla Marketplace (Silkkitie), geschlossen. Gleichzeitig gelang es den Strafverfolgungsbehörden DeepDotWeb zu deaktivieren. Die beliebte Infoseite bot selbst zwar keine Schmuggelware zum Verkauf an, dafür aber eine nützliche Übersicht der kriminellen Webseiten in Verbindung mit Affiliate-Links. Die Aktionen zeigen, dass Strafverfolgungsbehörden in der ganzen Welt die illegalen Handelsnetzwerke hinter den Marktplätzen stärker ins Visier nehmen und dabei auch Nebenakteure und Geldwäscher nicht entwischen lassen.

Bei den Recherchen für den Report Seize and Desist: The State of Cybercrime in the Post-AlphaBay and Hansa Age hat das Team von Digital Shadows das Ende der Marktplätze und seine Folgen für das Dark Web genauer untersucht. Das Ergebnis: Das Geschäft mit der Cyberkriminalität – insbesondere im russischsprachigen Raum – wurde kaum gestört. Die Aktionen lösten allerdings eine Vertrauenskrise innerhalb der kriminellen Cyberwelt aus.

Nach dem Ende von AlphaBay, Hansa und Silk Road existieren zwar immer noch Marktplätze, wie Tochka und Empire. Einen ähnlichen Bekanntheitsgrad konnten sie jedoch nicht erreichen. Noch verzeichnen die neuen Marktplätze wenig Wachstum, oder halten sich aus Angst vor strafrechtlichen Aktionen und Takedown-Verfahren ganz bewusst bedeckt. Wie in der legalen Welt sind die Neulinge auf eine gute Reputation und langfristige Finanzierung angewiesen, um das Vertrauen von Nutzern zu sichern und ihren Kundenstamm auszubauen.

Ein gutes Beispiel dafür war Market.ms Marketplace. Die Seite wurde von einem ehemaligen Administrator des renommierten Exploit[.]in-Hacking-Forums betrieben, der zufälligerweise auch das aufstrebende XSS-Forum (ehemals Damagelab) leitete. Zu 100-prozentig auf Cyberkriminalität fokussiert, war MarketMS nahezu konkurrenzlos. Doch trotz des anfänglichen Erfolgs gelang es auch marketMS nicht, langfristig profitabel zu bleiben und die Seite zu einem tragfähigen Marktplatz zu etablieren.

Cyberkriminelle verlassen sich nie nur auf eine Webseite, sondern bewegen sich auf unterschiedlichen Plattformen und Marktplätzen. So gehen sie auf Nummer sicher, dass ihr Name allen potentiellen Käufern bekannt ist. Der auf Marktplätzen bereitgestellte Treuhandservice ist für Käufer als auch für Verkäufer in der unsicheren Welt der Cyberkriminalität ein wichtiges Argument. Parallel zu den neuen Marktplätzen im Dark Web werden auch verstärkt Messaging-Dienste wie Telegram und Jabber genutzt, um Geschäfte auszuhandeln und die Glaubwürdigkeit von Angeboten zu prüfen.

Innovative Cyberkriminalität

Trotz aller Bemühungen der Strafverfolgungsbehörden wächst das Ausmaß der Cyberkriminalität stetig – und in immer neuen Variationen. Automated Vending Carts (AVCs) beispielsweise bezeichnen Webseiten, die mit großen Mengen an Kreditkartendaten und Logindaten handeln und nur wenig Interaktion zwischen Verkäufer und Händler voraussetzen. Ihre Aktivitäten sind, abgesehen von der Schließung von XDedic im Januar 2019, weitgehend unberührt geblieben. Joker’s Stash, ein prominenter AVC für gestohlene Kreditkarten, ist weiterhin in Betrieb und experimentiert gleichzeitig mit neuen Technologien wie Blockchain-DNS.

Die AVC-Seite Enigma-Markt hat ebenso schnell an Bekanntheit gewonnen und seine Angebote zwischen Februar und Juli 2019 sogar verdoppelt. Ihr Gründer operiert unter dem Namen Stackz420 und verfolgt ein aggressives Marketing auf kriminellen Foren und Marktplätzen. Der Erfolg gibt ihm Recht: Das anfängliche Portfolio von 11.000 gehackten Logindaten wuchs schnell auf 20.000 an.