Umbruch „in buchstäblich jeder Form von Cyberkriminalität“ – BitcoinBlog.de – das B…
Ein Sicherheitsforscher teilt mit, was der Krieg in der Ukraine mit dem russischsprachigen Darknet gemacht hat. Das betrifft nur Bitcoin – gibt aber einen interessanten Einblick.
In seinem Podcast Interview mit dem Magazin Bank Info Security Sicherheitsanalyst Alexander Leslie. Leslie hat für die Insikt-Gruppe ein Bericht darüber geschrieben, wie Russlands Krieg gegen die Ukraine das Ökosystem der Cyberkriminalität „stört“.
Überblick
Erstens schlägt Leslie vor, dass es „in buchstäblich jeder Form von Cyberkriminalität“ zu Umwälzungen kommt. Das sieht man an den enormen Preisschwankungen auf allen Marktplätzen, ob bei Medikamenten, Kreditkarten oder Datenlecks.
Der große Trend ist ein Braindrain aus Russland, der Ukraine, Weißrussland und anderen Staaten auf dem Territorium der ehemaligen Sowjetunion. Das hat das Cybercrime-Ökosystem destabilisiert, das sich durch alle Bereiche, Shops, Foren, Telegrammgruppen zieht.
Manchmal ist die Situation schwer einzuschätzen. Weil viele Akteure der russischsprachigen Cyberkriminalität offline gingen, nachdem Russland in die Ukraine einmarschiert war. Wie “andere Menschen verfolgen sie die Nachrichten und sind sehr besorgt über den Krieg und ihre Zukunft”.
Der Braindrain und seine Folgen
Je nachdem, welche Quelle Sie konsultieren, westliche oder russische, haben etwa 250.000 Informatiker Russland und Weißrussland verlassen. Die erste Welle vor der Invasion, die zweite kurz danach und weitere mit der Mobilmachung. Der Braindrain geht weiter. Die Russen fliehen in die baltischen Staaten, vor allem nach Estland, Polen, Finnland, Georgien, Kasachstan und in andere zentralasiatische Länder. Einige Hacker, die in Russland nicht strafrechtlich verfolgt wurden, werden jetzt verhaftet, wie Mark Sokolovsky in den Niederlanden, der Entwickler von Raccoon-Stealer.
Der Braindrain dezentralisiert das Ökosystem, das zuvor stark auf Russland konzentriert war. Auch bei ihm bricht das alte ungeschriebene Gesetz in der russischsprachigen Cyberkriminalität: „Wenn Sie ein russischer Hacker sind und Russland nicht angreifen, werden Sie nicht strafrechtlich verfolgt.“ Jetzt jedoch, mit der Dezentralisierung des Ökosystems, verliert die Regel ihre Autorität.
Hacktivismus
Die „bei weitem größte Überraschung“ war jedoch, dass es Hackerstaffeln bisher nicht gelungen ist, Russlands Kriegsführung im Cyberspace zu verstärken. Es gibt eine gewisse Zusammenarbeit zwischen Staat und Hackern, aber kaum nennenswerte Angriffe. Die meisten Sicherheitsexperten haben hier mehr erwartet.
Die größte Gefahr des Hacktivismus geht jedoch von Desinformation aus. Leslie hat im Laufe des Jahres 200 Hacktivismus-Gruppen identifiziert, die, ob pro-ukrainisch, pro-russisch oder pro-westlich, Behauptungen aufstellen, die nachweislich falsch oder übertrieben sind. Viele dieser Gruppen haben eine verdächtige Beziehung zu russischen Staatsmedien. Beispielsweise versucht Russland, die Rolle von Cyberangriffen in der Öffentlichkeit größer zu machen, als sie tatsächlich ist.
Dark-Web-Märkte
Auch die Darknet-Marktplätze, auf denen mit Drogen, Waffen, Diebesgut, Fälschungen und anderen illegalen Waren gehandelt wird, sind massiv vom Krieg betroffen. Diese wurden stark destabilisiert, erstens durch die Schließung des mächtigen Hydra-Marktes, der die Szene fragmentierte, und zweitens durch die Sanktionen. Seit sie den grenzüberschreitenden Warenfluss in den Westen gestoppt haben, können Darknet-Händler keine Waren mehr nach Deutschland, in die EU, in die USA oder nach Kanada schicken.
Im Inland hingegen nimmt der Darknet-Handel zu, es gibt immer mehr „Dead-Drop-Dienste“, die illegale Waren an bestimmte Orte liefern. Hier könnte sich ein Schwarzmarkt bilden, der mit dem Abgleiten Russlands in eine Kriegswirtschaft immer wichtiger wird, ähnlich den Schwarzmärkten, die in der späten Sowjetunion die Bevölkerung am Leben erhalten haben sollen.
Die Bruderschaft
Viele der Cybercrime-Gruppen bestanden nicht nur aus Russen, sondern aus Bewohnern des weiteren Gebiets der ehemaligen Sowjetunion. Die Ransomware-Gang Conti umfasst beispielsweise Russen, Ukrainer, Weißrussen, Esten, Moldauer, Georgier, Kasachen; in anderen gibt es auch Rumänen, Finnen, Schweden und so weiter.
Diese „Bruderschaft“ der russischsprachigen Welt der Cyberkriminalität zerfiel mit dem Krieg. Konflikte entstehen in vielen Gruppen. Einige sind Russland gegenüber loyal, andere, anscheinend die Mehrheit, sind gegen den Krieg. Manchmal gibt es auch Probleme mit Zahlungsströmen, zum Beispiel von Affiliate-Partnern von Ransomware-Entwicklern. Viele russlandkritische Hacker haben sich der „IT-Armee der Ukraine“ angeschlossen, auch das Hackerkollektiv Anonymous unterstützt das Land. Diese werden von pro-russischen Gruppen wie Killnet bekämpft.
Vor allem gilt die ungeschriebene Regel, dass Ziele auf dem Gebiet der ehemaligen Sowjetunion tabu sind, nicht mehr. In Foren findet man Angebote für Datensätze von Ukrainern, Georgiern, Weißrussen und so weiter, und in englischsprachigen Foren tauchen immer mehr Daten aus Russland auf.
Genialer Text dieser Post wurde geschrieben von
[ENGLISH]