DE
DE EN FR
Startseite | Die Auswirkungen der Takedowns von Dark Web-Marktplätzen [AlphaBay und Hansa]

Die Auswirkungen der Takedowns von Dark Web-Marktplätzen [AlphaBay und Hansa]

Leah Koonthamattam

6 min lesen - 24. September 2024

Es ist fast sieben Jahre her, dass der seinerzeit größte Dark-Web-Marktplatz AlphaBay und sein Nachfolger Hansa geschlossen wurden. Noch heute gibt es Fragen zur Nachfolge der Moderatoren und zum weiteren Vorgehen der Cyberkriminellen.

Aber lassen Sie uns zunächst rekapitulieren, was genau passiert ist.

Im Jahr 2017 wurden in einer koordinierten Aktion mit dem Codenamen "Operation Bayonet" von der niederländischen Nationalpolizei, Europol und dem FBI zwei Dark-Web-Märkte geschlossen, auf denen zusammen über 350 000 illegale Waren gehandelt wurden, von Opioiden über Ransomware bis hin zu Geldwäscherei. Die Aktion wurde als eine der ausgefeiltesten Operationen zur Bekämpfung der Cyberkriminalität bekannt. 

AlphaBay auf den über das TOR-Netzwerk zugegriffen wurde, hatte in der Spitze über 40.000 Anbieter und über 250.000 Angebote für Drogen und andere Chemikalien sowie über 100.000 Angebote für gestohlene Identitäten, Kreditkarten, gefälschte Waren, Malware und Schusswaffen. Schätzungen gehen davon aus, dass dieser Marktplatz den Handel mit Bitcoin und anderen Kryptowährungen im Wert von 1 Milliarde US-Dollar ermöglichte. Zum Zeitpunkt der Zerschlagung war Hansa der drittgrößte Dark-Web-Marktplatz und damit der perfekte Honeypot für globale Strafverfolgungsteams, um Cyberkriminelle anzulocken und zurückzuschlagen.

Aber es gab Schwachstellen bei der operativen Sicherheit dieser Marktplätze.

Zwei Zinken für zwei Darknet-Abschaltungen

Ein Bild, das vom FBI nach der Schließung von AlphaBay und Hansa veröffentlicht wurde. Quelle: FBI.gov

Auch heute noch ist sie ein glänzendes Beispiel für eine der aufwändigsten und kooperativsten Bemühungen der internationalen Strafverfolgungsbehörden zur Bekämpfung der Cyberkriminalität. Im Juli 2017 wurden die beiden Märkte AlphaBay und Hansa erfolgreich abgeschaltet.

Allerdings wurde nur AlphaBay offline genommen, was die Frage aufwirft, was genau mit dem AlphaBay-Markt passiert ist. 

Schwerpunkt 1: Ausschalten von AlphaBay, dem größten Darknet-Markt

AlphaBay war ein hochmoderner Darknet-Marktplatz, der seit 2014 illegale Geschäfte ermöglichte. Er war ein deutlich größerer Nachfolger der bahnbrechenden Darknet-Plattform Silk Road, die selbst 2013 geschlossen wurde.

Ein Blick in die Vergangenheit auf den AlphaBay-Markt und die für Nutzer aufgelisteten Kategorien, darunter Betrug, Drogen & Chemikalien, Software und Malware.

Am 5. Juli 2017 verhaftete die königliche thailändische Polizei einen kanadischen Staatsbürger, Alexandre Cazes in Bangkok, Thailand. Er war der mutmaßliche Gründer und Administrator der Website und verwendete in der Kommunikation den Codenamen "Alpha02".

Die thailändischen Behörden beschlagnahmten die Server, auf denen AlphaBay gehostet wurde, und sperrten den Zugang zu den Nutzern, kündigten aber nicht öffentlich die Schließung oder Übernahme der Plattform an. Die Gerüchte, die dies bei den böswilligen Akteuren in Dark-Web-Foren auslöste, reichten von technischen Problemen bis hin zu Ausstiegsbetrug, bei dem die Administratoren des Dark-Web-Marktplatzes die Plattform schließen und das Geld der Nutzer stehlen. 

Was auch immer mit AlphaBay passiert sein mag, für die Nutzer lief das Geschäft wie gewohnt weiter, und sie strömten schnell zu anderen Marktplätzen. Als eine der verbleibenden seriösen und beliebten Dark-Web-Plattformen strömten Nutzer und Verkäufer gleichermaßen zu Hansa, was dazu führte, dass Hansa einen achtfachen Anstieg der Nutzerzahlen verzeichnete. 

Punkt 2: Vorbereitung des perfekten Honigtopfs für Cyberkriminelle

Nach mehrjährigen Ermittlungen und Nachforschungen entdeckte das Europäische Zentrum für Cyberkriminalität von Europol im Jahr 2016 eine Spur zur Backend-Infrastruktur von Hansa.

Es handelte sich um eine verdeckte Europol-Mission, bei der die niederländische Polizei und später auch die amerikanischen Behörden Informationen austauschten. Während die amerikanischen und thailändischen Behörden gemeinsam an der Schließung von AlphaBay arbeiteten, hatten Europol und die niederländische Polizei heimlich die Infrastruktur von Hansa infiltriert und unter ihre Kontrolle gebracht. Dies führte im Wesentlichen zur Schaffung eines Honigtopfes nach der Schließung von AlphaBay.

Mit diesem Zugang hatte die Polizei den Code der Plattform geändert, um Daten von Verkäufern und Käufern gefälschter Waren wie Drogen, giftigen Chemikalien, Schusswaffen, Malware und anderen betrügerischen Aktivitäten zu sammeln. Es wurden Daten wie E-Mail-Adressen, Passwörter, PGP-Schlüssel, Verlaufsdaten, Nachrichten und mehr erfasst. Dies eröffnete riesige Datenpools und verschaffte den weltweiten Strafverfolgungsbehörden Einblicke in Tausende von Cyberkriminellen. 

Julian King, der europäische Kommissar für die Sicherheitsunion, kommentierte diesen Fall wie folgt: "Dieser jüngste Erfolg zeigt nicht nur die wachsende Bedrohung durch immer raffiniertere kriminelle Unternehmen, die sich den weitgehend unregulierten Raum des Internets zunutze machen, sondern auch die entscheidende Rolle der internationalen Zusammenarbeit."

Im Moment sah es so aus, als ob die Strafverfolgungsbehörden alles reibungslos abwickeln würden.

Wer waren die Drahtzieher hinter diesen Dark-Web-Marktplätzen?

Alexandre Cazes wurde in Bangkok aufgrund einer Spur entdeckt, die die Behörden aus der Begrüßungs-E-Mail seines eigenen Marktplatzes erhalten hatten. Es handelte sich um eine Willkommens-E-Mail, die AlphaBay an neue Nutzer und Verkäufer verschickte und die in der Kopfzeile eine verlinkte Hotmail-Adresse enthielt. Diese E-Mail war mit den LinkedIn- und MySpace-Konten von Cazes verknüpft.

Alphabay in Zahlen. Quelle: Die FBI.

Nach Angaben von FBI-Spezialagent Chris Thomas, der Fall dieser Cyberkriminellen wurde durch Hybris verursacht, "Sie wussten, dass die Strafverfolgungsbehörden ihre Aktivitäten überwachten, aber sie fühlten sich durch die Technologie des Dark Web so geschützt, dass sie glaubten, sie könnten mit ihren Verbrechen davonkommen."

Nach der Verhaftung, während er auf seine Auslieferung in die Vereinigten Staaten wartete, wurde Cazes offenbar starb durch Selbstmord, während er in Thailand inhaftiert war. Später im selben Monat reichte die US-Staatsanwaltschaft in Kalifornien eine zivilrechtliche Beschlagnahmebeschwerde gegen die hochwertigen Vermögenswerte von Cazes und seiner Frau ein, die sich überall auf der Welt befinden, darunter mehrere Luxusfahrzeuge, Wohnsitze und ein Hotel in Thailand sowie Millionen in Kryptowährung. Diese wurden vom FBI und der Drug Enforcement Administration beschlagnahmt. 

Nach der Abschaltung von Hansa führte eine Nachuntersuchung der niederländischen Polizei zur Verhaftung von zwei der Administratoren, die deutsche Staatsbürger waren, sowie zur Beschlagnahmung ihrer Server in den Niederlanden, Deutschland und Litauen. Die Identität der Administratoren wurde nicht bekannt gegeben. Die niederländische Nationalpolizei, Europol, das FBI und die US-Drogenbehörde DEA waren an der koordinierten Operation zur Zerschlagung von Hansa

Was geschah nach diesen großen Takedowns im Dark Web?

Trotz dieser Maßnahmen sind die Auswirkungen und Folgen der dadurch begünstigten Verbrechen bis heute spürbar.

Eine wichtige Auswirkung waren drogenbedingte Todesfälle. Auf dem Höhepunkt seiner Herrschaft hatte AlphaBay über 250.000 Inserate für illegale Drogen und giftige Chemikalien.

Laut Beschwerden, die beim District of South Carolina eingereicht wurden, ergab eine Untersuchung eines Todesfalls durch Überdosierung, an dem ein synthetisches Opioid beteiligt war, dass die Drogen auf AlphaBay gekauft wurden. Eine weitere Beschwerde in Florida deutet darauf hin, dass das Fentanyl, das einen weiteren Todesfall durch Überdosierung verursachte, ebenfalls auf der Plattform gekauft wurde. Mehrere Todesfälle durch Überdosierung in den USA haben alle zu den bösartigen und illegalen Dienstleistungen und Waren geführt, die auf AlphaBay und ähnlichen Plattformen verkauft wurden. 

Wie wir jedoch bei der Massenabwanderung zu Hansa gesehen haben, ist die Internetkriminalität nicht auf bestimmte Dark-Web-Marktplätze beschränkt. Laut einem Forschungspapier aus dem Jahr 2023 des Institut für Cybersicherheit für die GesellschaftDie Daten zeigen, dass die Nutzer des Dark Web nach Schließung eines Marktes so schnell wie möglich zu anderen seriösen Märkten wechseln.

Das von AlphaBay und Hansa geschaffene Vakuum wurde 2018 durch Empire Market gefüllt. Er wurde 2020 wieder geschlossen. Es folgte die Beschlagnahmung von Genesis Market im April 2023. Danach wurde BreachForum, ein weiteres Dark-Web-Forum, wiederholt abgeschaltet und erneuert. Lesen Sie unseren Blog "Top-Bedrohungsakteure im Dark Web | 2023 Zusammenfassung" für weitere Informationen über neue Spieler.

AlphaBay 2.0 

Obwohl der Erfinder und Administrator von AlphaBay verhaftet wurde, war sein Stellvertreter, der als "DeSnake" bekannt ist, immer noch aktiv.

Anfang August 2021 startete ein Nutzer, der von unabhängigen Quellen als "DeSnake" verifiziert wurde, AlphaBay 2.0 mit einem Beitrag im Darknet-Forum, "Dread." Sie schrieben, dass "Ich möchte dies in erster Linie alpha02 widmen. Wir haben uns gegenseitig versprochen, bis zum bitteren Ende durchzuhalten, und ich halte meinen Teil der Abmachung ein."

Die neu AlphaBay wurde mit mehreren neuen Maßnahmen wie strengen Beschränkungen für den Verkauf von Covid-19-Impfstoffen, Fentanyl, Schusswaffen usw. gefüllt. DeSnake brachte auch eine brandneue Funktion heraus, die darauf abzielte, die geheimen Infrastrukturinfiltrationen zu umgehen. Um das zu vermeiden, was mit Hansa geschah, wurde diese Funktion AlphaGuard genannt.

AlphaGuard ist eine Technologie, die es den Nutzern ermöglicht, Gelder abzuheben und den Server, der den Markt beherbergt, im Falle unerwarteter Änderungen an einem oder allen Servern selbst zu zerstören. Nur diejenigen mit administrativem Zugang wie DeSnake hatten die Möglichkeit, diese Technologie zu deaktivieren, indem sie innerhalb von 72 Stunden einen Schlüssel eingeben. 

Nach mehreren Quellen AlphaBay 2.0 wurde im Jahr 2023 abgeschaltet, weil AlphaGuard eingesetzt wurde. Der Administrator, DeSnake, war aus unbekannten Gründen nicht in der Lage, sich rechtzeitig abzumelden, was zum Ende von AlphaBay 2.0 führte. DeSnake wurde seither nicht mehr aktiv gesehen.

Einpacken

Hier ist eine kurze Zusammenfassung des bisherigen Verlaufs dieser Geschichte:

  • Koordinierte Operationen durch Strafverfolgungsbehörden (darunter das FBI, die niederländische Nationalpolizei und Europol) führten 2017 zur Schließung von AlphaBay und Hansa. Dabei handelte es sich um bedeutende Dark-Web-Marktplätze für illegale Waren, cyberkriminelle Aktivitäten und den Austausch von Malware.
  • Post-AlphaBay-TakedownIn der Folge wanderten ahnungslose Nutzer zu Hansa, ohne zu wissen, dass es von den Strafverfolgungsbehörden kontrolliert wurde. Dies sorgte dafür, dass umfangreiche kriminelle Daten gesammelt wurden und erleichterte weitere Verhaftungen.
  • Trotz dieser NiederschlagungenDie Aktivitäten im Dark Web sind auch dann noch vorhanden, wenn die Nutzer auf andere Plattformen ausweichen. Dies ist zum Teil der flüssigen Belastbarkeit der Untergrundmarktplätze zu verdanken.
  • DeSnakeversuchte ein zentrales Mitglied von AlphaBay, diesen Marktplatz als "AlphaBay 2.0" mit verbesserten Sicherheitsmaßnahmen wiederzubeleben. Die Plattform wurde jedoch im Jahr 2023 auf mysteriöse Weise abgeschaltet, was den anhaltenden Kampf gegen Dark-Web-Marktplätze weiter unterstreicht.

Wenn Ihnen dieser Blog gefallen hat, folgen Sie unseren sozialen Netzwerken; LinkedIn, Twitter/Xund Facebook, um wöchentlich neue Inhalte und Analysen zu erhalten.