Ein 28-jähriger ukrainischer Staatsangehöriger wurde zu vier Jahren Gefängnis verurteilt, weil er im Rahmen eines Datendiebstahls Tausende von Server-Anmeldedaten abgezweigt und im Dark Web verkauft hat, um Geld zu verdienen.
Oleksandr Ivanov-Tolpintsev, der sich im Februar dieses Jahres schuldig bekannte, wurde im Oktober 2020 in Polen festgenommen und im September 2021 an die USA ausgeliefert.
Bei dem illegalen Verkauf ging es um den Handel mit Zugangsdaten zu Servern auf der ganzen Welt und mit personenbezogenen Daten wie Geburtsdaten und Sozialversicherungsnummern von US-Bürgern auf einem Darknet-Marktplatz.
Die unbenannte Seite bot angeblich über 700.000 kompromittierte Server zum Verkauf an, darunter mindestens 150.000 allein in den USA. Der Untergrundmarktplatz, der vermutlich seit Oktober 2014 in Betrieb war, wurde laut Gerichtsdokumenten am 24. Januar 2019 von den Strafverfolgungsbehörden beschlagnahmt.
Dies fällt genau mit der Zerschlagung des xDedic-Marktplatzes zusammen, die nach einer einjährigen Untersuchung durch Behörden aus den USA, Belgien, der Ukraine und Deutschland am selben Tag erfolgte.
„Der xDedic Marketplace verkaufte den Zugang zu kompromittierten Computern weltweit sowie persönliche Daten“, erklärte Europol damals und fügte hinzu: „Nutzer von xDedic konnten nach Kriterien wie Preis, geografischer Lage und Betriebssystem nach kompromittierten Computerdaten suchen.“
Die Opfer stammten aus den unterschiedlichsten Bereichen wie Regierungen, Krankenhäusern, Notdiensten, Call Centern, Verkehrsbetrieben, Anwaltskanzleien, Pensionsfonds und Universitäten.
„Nach dem Kauf nutzten die Kriminellen diese Server für eine Vielzahl illegaler Aktivitäten wie Ransomware-Angriffe und Steuerbetrug“, so das US-Justizministerium (DoJ) in einer Presseerklärung.
Ivanov-Tolpintsev soll sich die Benutzernamen und Passwörter der Server über ein Botnetz verschafft haben, das für Brute-Force- und Passwort-Spraying-Angriffe genutzt wurde. Von 2017 bis 2019 bot er die gehackten Zugangsdaten auf dem Marktplatz zum Verkauf an und verdiente dabei 82.648 US-Dollar.
Die Verurteilung erfolgt, nachdem das Justizministerium ein Trio von Cyberkriminellen wegen Verschwörung zum Betrug und schwerem Identitätsdiebstahl zu einer Haftstrafe von mindestens fünf Jahren verurteilt hat.
„Mindestens von 2015 bis 2020 haben sich [Jean Elie Doreus] Jovin, Alessandro Doreus und Djouman Doreus verschworen, wissentlich und mit der Absicht zu betrügen, Zehntausende von gefälschten und nicht autorisierten Zugangsgeräten zu besitzen – einschließlich der Namen, Sozialversicherungsnummern, Kontonummern, Benutzernamen und Passwörter der Opfer von Identitätsdiebstahl“, so das Ministerium.