Die Nachwehen von Emotet & DarkMarket So unverwüstlich ist das Darknet

Autor / Redakteur: Rick Holland / Peter Schmitz

Es gab eine Zeit, da war die Beschlagnahmung des größten Marktplatzes im Darknet oder die Übernahme eines Malware-Botnets durch die Behörden mehr als nur eine Schlagzeile. Doch die Reaktionen auf DarkMarket und Emotet Anfang des Jahres blieben zumindest in cyberkriminellen Kreisen verhalten. Ein Blick auf die neue Resilienz der digitalen Unterwelt und was sie für die Cybersecurity von Unternehmen bedeutet.

Firmen zum Thema

Das Darknet ist extrem widerstandsfähig geworden. Kaum wird eine Plattform von Ermittlungsbehörden abgeschaltet, stehen schon eine ganze Reihe von anderen Anbietern in den Startlöchern.
Das Darknet ist extrem widerstandsfähig geworden. Kaum wird eine Plattform von Ermittlungsbehörden abgeschaltet, stehen schon eine ganze Reihe von anderen Anbietern in den Startlöchern.
(Bild: gemeinfrei / Pixabay )

Die Abschaltung von DarkMarket im Januar 2021 war das Ergebnis monatelanger, koordinierter Ermittlungen von Europol und anderen internationalen Strafverfolgungsbehörden. Die englischsprachige Plattform war bekannt für den Handel mit Falschgeld, gestohlenen Kreditkartendaten, anonymen SIM-Karten, Malware und Drogen und war so im vergangenen Jahr zum echten Publikumsliebling avanciert. Die hohe Benutzerfreundlichkeit und der einfache Zugang zu Anbietern und illegalen Waren kam bei den Kunden gut an. Hinzu kam, dass viele Kriminelle mit Beginn der Corona-Pandemie gezwungen waren, ihre Geschäfte ins Netz zu verlegen. Da kam DarkMarket als Vertriebsweg gerade recht: Insgesamt versammelte der Marktplatz 50.000 registrierte Nutzer und 2.400 aktive Verkäufer, die über 320.000 Transaktionen abwickelten. Konservative Schätzungen gehen davon aus, dass dabei mehr als 140 Millionen Euro den Besitzer wechselten.

Alternative Marktplätze in den Startlöchern

Umso überraschender war es, dass die Reaktionen auf das Ende von DarkMarket in der Dark-Web-Community selbst nur verhalten ausfielen. Das Thema wurde in Foren und Chats durchaus diskutiert. Manch einer ärgerte sich über die laxen Sicherheitspraktiken der Plattform. Meist aber drehte sich das Gespräch bereits um alternative Marktplätze, auf die Anbieter und Kunden ausweichen konnten. Letzten Endes gingen die Geschäfte im Darknet aber weiter ihren gewohnten Gang.

Nach dem Ende von DarkMarket: Ein Nutzer des Dark-Web-Community-Forums Dread gibt anderen Mitgliedern Tipps bei der Suche nach alternativen Markplätzen.
Nach dem Ende von DarkMarket: Ein Nutzer des Dark-Web-Community-Forums Dread gibt anderen Mitgliedern Tipps bei der Suche nach alternativen Markplätzen.
(Bild: Digital Shadows)

Wie kommt es zu dieser Gelassenheit? Die Gründe dafür sind unterschiedlich. DarkMarket war zwar ein populärer Marktplatz, aber bei weitem nicht der einzige. Als die Plattform das Zeitliche segnete, standen eine ganze Reihe von anderen Anbietern bereits in den Startlöchern, um die heimatlos gewordenen Kriminellen mit Sonderaktionen und kostenlosen Konten zu sich zu locken. In diesem heiß umkämpften Umfeld ist jeder von den Behörden annektierter Markplatz ein Wettbewerber weniger. Zudem festigt der Erfolg von Europol, FBI und Co. gegen eine Seite automatisch die eigene Marktposition und verleiht den noch bestehenden Marktplätzen unfreiwillig eine Art Gütesiegel. Insbesondere die russischsprachigen Markplätze und Cybergruppen, die das Darknet zunehmend dominieren, sehen sich damit in ihrer Strategie eher bestärkt als in Gefahr.

Mit Diversifikation und Multichannel raus aus der Vertrauenskrise

DarkMarket ist bei weitem nicht der erste Marktplatz, der von der Bildfläche verschwunden ist. Erst im Sommer 2020 verlor das Darknet den Empire Market – nicht durch Behörden, sondern durch einen Exit-Scams, bei dem sich die Betreiber mit dem Geld der kriminellen Kundschaft aus dem Staub machten. Empire galt als etablierter Nachfolger von Alpha Bay und Hansa, die von Behörden bereits 2017 zerschlagen wurden. Cyberkriminelle vertrauten der Plattform und hinterlegten auf den Konten viel Geld, um bei Bedarf schnell und direkt auf Bitcoins zugreifen zu können. Das wurde nicht nur vielen Kunden von Empire Market zum Verhängnis, sondern hat auch das Vertrauen in das Modell der Markplätze nachhaltig geschädigt.

Tatsächlich scheint gerade der „Verrat” rund um Empire Market das Fass zum Überlaufen gebracht zu haben. Der Trend geht hin zu alternativen Vertriebskanälen und -technologien. Dazu gehören cyberkriminelle Foren und Messaging-Dienste wie Telegram und Discord. Einen echten Schutz vor Betrug, Pleiten und staatlicher Intervention bieten jedoch auch diese Kanäle nicht. Im Gegenteil: Anders als auf Markplätzen gibt es keinen Dritten, der die Gelder von Anbietern und Kunden bei Transaktionen treuhänderisch verwaltet. Damit steigt das Risiko von Geschäftspartnern über den Tisch gezogen zu werden. Um diesen Nachteil auszugleichen, versuchen sich Cyberkriminelle breiter aufzustellen und ihre Aktivitäten und Geschäfte auf mehrere Vertriebskanäle aufzuteilen. Diversifikation, Multi-Channel und Risikostreuung wird damit auch für die Industrie „Cyberkriminalität” zur Schlüsselstrategie, um in schwierigen Zeiten wettbewerbsfähig zu bleiben.

Die zweifelhafte Erfolgsgeschichte von Emotet

Neben DarkMarket hatte das Jahr 2021 noch eine weitere Überraschung für das Darknet parat. Bei der Operation “Ladybird” gelang es deutschen Ermittlern gemeinsam mit Europol die Infrastruktur von Emotet zu übernehmen und damit einer der gefährlichsten Ransomware überhaupt einen Riegel vorzuschieben – zumindest vorerst. Anders als bei der Abschaltung von DarkMarket, bleibt abzuwarten, ob Ransomware-Angriffe mit Emotet tatsächlich dauerhaft von der Bildfläche verschwinden. Der modularer Aufbau von Emotet macht die Malware zu einer Art Schweizer Taschenmesser für Cyberattacken: Sie lässt sich leicht verändern, ist extrem anpassungsfähig und kann mit anderen Ransomware-Varianten kombiniert werden. Mit dementsprechend hohem Tempo konnte sich Emotet so in den letzten Jahren ausbreiten und einen weltweiten Schaden von über 2 Milliarden Euro verursachen.

Russischer Forumseintrag: Kritik an den Medien und öffentlichen Stellen zur Berichterstattung von Emotet.
Russischer Forumseintrag: Kritik an den Medien und öffentlichen Stellen zur Berichterstattung von Emotet.
(Bild: Digital Shadows)

Die Reaktion im Darknet auf die Beschlagnahmung der Emotet-Server? Nach Beobachtungen der Analysten von Digital Shadows ärgerten sich viele Akteure auf russischsprachigen Foren vor allem über die mageren technischen Details, die Europol in seiner Pressemitteilung zur Aktion verriet. Andere begnügten sich damit, altbekannte Weisheiten der Cyberkriminalität von sich zu geben: Wer lange erfolgreich im Darknet unterwegs sei, hinterlasse zwangsläufig Spuren und werde über kurz oder lang geschnappt.

Auswirkungen auf Unternehmen und IT-Sicherheit

Der Blick ins Darknet, auf die Eigenheiten seiner Akteure, ihre Diskussionen und ihre Reaktionen sind mehr als nur spannend. Die Beobachtung verrät viel über aktuelle Strategien und Trends, die Unternehmen in der Praxis für ihre Cybersicherheit nutzen können. Aus den Aktionen rund um Emotet und DarkMarket lassen sich dabei gleich mehrere Erkenntnisse ziehen:

Das Ende der Marktplätze: Gänzlich werden Markplätze nach dem Vorbild von DarkMarket, Empire Market, Hansa und Alpha Bay wohl nie verschwinden. Dafür ist das Modell einfach zu erfolgreich. Trotzdem werden Akteure in Zukunft verstärkt nach Alternativen suchen und sich breiter aufstellen. Das macht sie innovativer, gefährlicher und schwieriger zu fassen. Große und etablierte Marktplätze hatten zumindest den Vorteil, dass Sicherheitsbehörden genau wussten, wo sich ein Großteil der illegalen Geschäfte abspielte – auch wenn der Zugriff damit nicht einfacher wurde. Die Darknet-Landschaft von heute hingegen strotzt vor Diversität und Dynamik, was es schwieriger macht, langangelegte Ermittlungen anzustellen und die Drahtzieher dingfest zu machen. Es wird sich zeigen, wie Strafverfolgungsbehörden, aber auch die Cybersicherheit in Unternehmen sowie Threat-Intelligence-Experten ohne ein klares Feindbild zurechtkommen.

Emotet-Stichtag erst im April: Deutsche Ermittler haben angekündigt, den Zugang zur Emotet-Infrastruktur zu nutzen, um Updates auf kompromittierten Geräten zu installieren und damit die Malware unschädlich zu machen. Der voraussichtliche Stichtag dafür ist der 25. April 2021. Eine Entwarnung ist das jedoch nicht. So stellen bösartige, assoziierte Dateien auf den Rechnern bis zum Zeitpunkt der Updates eine ernste Gefahr dar. Unternehmen sollten sich zudem bewusst sein, dass Emotet häufig in Kombination mit anderen Malware-Varianten genutzt wird, darunter TrickBot und QakBot. Es wird deshalb empfohlen, zu überprüfen, ob Passwörter und E-Mail-Adressen über die Emotet-Ransomware gestohlen bzw. kompromittiert wurden. Die niederländische Polizeibehörde hat dazu eine eigene Website mit einer Schnellsuche eingerichtet.

Kein Ende der Ransomware: Es bleibt abzuwarten, ob der Schlag gegen Emotet wirklich das Ende der Ransomware-Variante bedeutet. Ähnliche Aktionen in der Vergangenheit zeigten eher gemischte Ergebnisse. Als im Oktober 2020 beispielsweise die US-Behörde Cyber Command das Botnet des Trojaners TrickBot im Vorfeld der US-Präsidentschaftswahlen neutralisierte, dauerte es nicht lange, bis die Aktivitäten über andere Servernetzwerke wieder aufgenommen wurden.

Erfolg für die Threat Intelligence: Die Operation „Ladybird“ hat viel dazu beigetragen, den Modus Operandi hinter der Emotet-Ransomware besser zu verstehen. Es bleibt zu hoffen, dass dieses Wissen sich zukünftig auch für Sicherheitsmaßnahmen in der Praxis anwenden lässt. Generell ist jede neue Information aus der Welt der Cyberkriminalität als Zugewinn für die Cyber Threat Intelligence (CTI) zu verstehen. Denn nur wer den Aufstieg und Fall von Bedrohungsakteuren, Marktplätzen und Malware-Varianten verfolgt und die Technologien, Taktiken und Prozeduren (TTPs) des Darknets kennt, kann sich vor digitalen Bedrohungen schützen.

Über den Autor: Rick Holland ist seit mehr als 15 Jahren im Bereich IT- und Cybersicherheit tätig. Vor seinem Wechsel zu Digital Shadows arbeitete er unter anderem als Vice President und Principal Analyst bei Forrester Research und diente als Intelligence Analyst in der US-Armee. Derzeit ist Holland Co-Vorsitzender des SANS Cyber Threat Intelligence Summits. Als Experte für Cyber Threat Intelligence spricht er regelmäßig auf Sicherheitskonferenzen in der ganzen Welt.

(ID:47361851)