Eine internationale Strafverfolgungsbehörde hat eine Razzia durchgeführt und RaidForums, eines der größten Hackerforen der Welt, das dafür berüchtigt ist, Zugang zu gehackten persönlichen Daten von Nutzern zu verkaufen, ausgeschaltet.
An der Beschlagnahmung der Cybercrime-Website mit dem Namen Tourniquet waren Behörden aus den USA, Großbritannien, Schweden, Portugal und Rumänien beteiligt. Die strafrechtlichen Ermittlungen führten zur Verhaftung des Forumsadministrators, der letzten Monat in seinem Haus in Croydon, England, festgenommen wurde.
Zu den drei beschlagnahmten Domains, die mit dem illegalen Marktplatz verbunden sind, gehören „raidforums[.]com“, „Rf[.]ws“ und „Raid[.]lol“.
Diogo Santos Coelho (auch bekannt als „Omnipotent“), der besagte Gründer und Hauptadministrator, wurde am 31. Januar in Großbritannien festgenommen und wartet auf seine Auslieferung in die USA.
Das US-Justizministerium beschuldigt den 21-jährigen Portugiesen nicht nur, eine zentrale Rolle bei der Entwicklung und Verwaltung der Software und der Computerinfrastruktur gespielt zu haben, sondern auch einen gebührenpflichtigen Vermittlungsdienst zu betreiben, um die Transaktionen auf der Plattform zu erleichtern.
„Um Vertrauen zwischen den Geschäftspartnern zu schaffen, ermöglichte es der offizielle Mittelsmanndienst Käufern und Verkäufern, die Zahlungsmittel und die verkauften Schmuggeldateien vor der Ausführung der Transaktion zu überprüfen“, so das Justizministerium.
Europol bezeichnete die Aktion als „Höhepunkt eines Jahres akribischer Planung“ und sagte, dass RaidForums seit seinem Start im Januar 2015 mehr als 500.000 Nutzer/innen hatte, wobei das Portal Datenbanken mit gestohlenen Daten zum Verkauf anbot, die mehr als 10 Milliarden einzigartige Datensätze von Personen in den USA und im Ausland umfassten.
Diese Datenbanken, die als Aufbewahrungsort für persönliche Daten dienten, enthielten Kreditkartendetails, Bankkontonummern und Routing-Informationen, Sozialversicherungsnummern sowie Benutzernamen und zugehörige Passwörter, die für den Zugang zu Online-Konten benötigt wurden.
„Dieser Marktplatz hatte sich einen Namen gemacht, indem er Zugang zu hochkarätigen Datenbanklecks verkaufte, die einer Reihe von US-Unternehmen aus verschiedenen Branchen gehörten“, so die Behörde. „Diese Daten stammen aus Datenschutzverletzungen und anderen Exploits, die in den letzten Jahren durchgeführt wurden.
Interessanterweise ist das „Raid“ in RaidForums eine Anspielung auf seine frühen Anfänge als Zentrum für die Organisation verschiedener Formen der elektronischen Belästigung – wie das „Raiding“, das sich auf eine Form der gezielten Belästigung durch das Versenden einer überwältigenden Menge von Nachrichten an ein Opfer bezieht.
Die Auflösung von RaidForums soll am 25. Februar 2022 stattgefunden haben, als der Online-Marktplatz auf mysteriöse Weise fast zwei Wochen lang offline war, nachdem er zwischen dem 7. und 12. Februar von Datenbankfehlern und Ausfällen geplagt wurde, was darauf hindeutet, dass die Strafverfolgungsbehörden mehrere Wochen lang Zugang zur Infrastruktur hatten.
„Vor der angeblichen Beschlagnahmung soll Omnipotent laut seiner Telegrammbiografie zwischen dem 31. Januar und dem 7. Februar, dem Tag des jüngsten Ausfalls, in Urlaub gewesen sein“, schrieb das Cybersecurity-Unternehmen Flashpoint damals.
„Nachdem die Seite am 12. Februar wieder online war, hat sich Omnipotent nicht zu dem Ausfall geäußert. Außerdem war der Eigentümer der Seite bis zu dem angeblichen Zugriff am 25. Februar offenbar nicht auf der Seite aktiv.
RaidForums diente nicht nur als Online-Treffpunkt für illegale Aktivitäten, sondern setzte auch auf verschiedene Abonnement-Stufen (kostenlos, VIP, MVP und Gott), um vom Verkauf vertraulicher und sensibler Informationen zu profitieren. Eine weitere Monetarisierungstechnik bestand in der Verwendung von Credits für Mitglieder, um privilegierten Zugang zu den kompromittierten Datenbanken freizuschalten.
Darüber hinaus ermöglichte RaidForums den Cyberkriminellen, auf andere Weise Credits zu verdienen, z. B. durch das Posten von Anleitungen für illegale Handlungen, so das Justizministerium weiter.
Das Ende von RaidForums reiht sich ein in eine Reihe von Maßnahmen, die die Strafverfolgungsbehörden im letzten Jahr zur Bekämpfung der Cyberkriminalität ergriffen haben. Letzte Woche schlossen deutsche und US-amerikanische Behörden Hydra, einen in Russland ansässigen und am längsten betriebenen Dark-Web-Marktplatz, der seit 2015 mit Transaktionen in Höhe von 5 Milliarden Dollar in Verbindung gebracht wurde.
„Die Unterbrechung von Transaktionen war schon immer eine der wichtigsten Methoden, um gegen Bedrohungsakteure im Internet vorzugehen. Die gezielte Bekämpfung von Foren, auf denen große Mengen gestohlener Daten gehostet werden, hält die Kriminellen auf Trab“, sagte Edvardas Šileris, Leiter des Europäischen Zentrums für Cyberkriminalität von Europol, in einer Erklärung.