Das BKA nimmt den riesigen russischen Darknetmarktplatz Hydra hoch. Ist der Zeitpunkt Zufall – oder geht der Schlag gegen die russische Internetkriminalität Hand in Hand mit den Finanzsanktionen? Ganz unabhängig von diesen ist der Zugriff nicht zu verstehen.
Russland ist, wie wir alle wissen, ein spezielles und nicht ganz einfaches Land. Als Chainalysis im Herbst 2020 einen Bericht über Kryptowährungen in Osteuropa veröffentlichte – vor allem über Russland – stellte der Blockchain-Analyst fest, dass der absolute Großteil des Transaktionsvolumens von Russland auf Börsen im Ausland fließe, da es kaum eigene Krypto-Unternehmen gebe. „Die eine große Ausnahme des augenfälligen Mangel an Krypto-Unternehmen in Osteuropa ist der Darknet-Marktplatz Hydra.“
Während überall auf der Welt Börsen die größten Krypto-Unternehmen bilden, ist dies in Russland der Darknetmarktplatz Hydra. Dieser wurde 2015 gegründet, richtet sich ausschließlich an User in Russland, der Ukraine und anderen Ex-Sowjetstaaten, und deckt die gesamte Bandbreite des Cybercrimes ab. Der Marktplatz macht so große Umsätze, dass er eines der größten russischen Internetunternehmen überhaupt ist. Yandex dürfte größer sein, mail.ru vielleicht, aber dahinter wird es knapp. Hydra ist eine Supermacht im russischen Internet.
Besser gesagt: war. Denn gestern kündigte das Bundeskriminalamt (BKA) an, gemeinsam mit der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) die Hydra vollständig geköpft zu haben.
Die Behörden haben „die in Deutschland befindliche Serverinfrastruktur des weltweit größten illegalen Darknet-Marktplatzes ‚Hydra Market‘ sichergestellt und diesen damit geschlossen.“ Dabei hat das BKA Bitcoins im Wert von etwa 23 Millionen Euro einkassiert.
Dem Zugriff gingen intensive Ermittlungen seit August 2021 voraus, in die neben BKA und ZIT auch US-Behörden involviert waren. Die Betreiber des Marktplatzes sind allerdings weiter unbekannt. Da es sich um Russen handelt, dürften sie sich dem Strafvollzug weiterhin entziehen können.
Durch den Zugriff schärft sich immerhin das Bild, das die Behörden von Hydra haben: Auf dem Marktplatz seien etwa 17 Millionen Kunden- und mehr als 19.000 Verkäuferkonten registriert gewesen. Die Umsätze im Jahr 2020 allein haben sich auf mindestens 1,23 Milliarden Euro belaufen.
Der Blockchain-Analyst Elliptic bestätigt und erweitert die Meldung. So schätzt der Analyst etwa, dass das BKA mit 88 Transaktionen 543,3 Bitcoins beschlagnahmt habe. Insgesamt habe Hydra, so Elliptic, rund 5 Milliarden Dollar Umsatz abgewickelt, allein im bisherigen Jahr 2022 seien kriminelle Transaktionen über mehr als 420 Millionen Dollar über Hydra gelaufen. Damit sei der Marktplatz seit 2017 im Darknet führend gewesen.
Hydra sei auf der einen Seite ein Drogenmarktplatz gewesen, auf der anderen Seite aber auch eine Plattform für Geldwäsche, auf der man Bitcoins gegen Bargeld tauschen konnte. Daher tauchten in und um Hydra die Coins zahlreicher Verbrechen auf, von Kreditkartenbetrug über Börsenhacks zu Ponzispielen, Betrug und Ransomware. Hydra war DAS Finanzzentrum des Cybercrimes in Osteuropa und in anderen Regionen.
Der Shutdown hinterlasse, meint Elliptic, „eine beträchliche Lücke im Darknet-Ökosystem.“ Da der Zugriff allerdings mit keinen Verhaftungen einhergehe, wäre es denkbar, dass die Betreiber von Hydra einfach ihre Reputation nutzen, um Hydra 2.0 aufzubauen, auch wenn es seine Zeit brauchen sollte, bis sie das Vertrauen der User erneut gewinnen.
Geopolitisch kommt die Meldung zu einer spannenden Zeit. Elliptic stellte Anfang Februar fest, dass der Russischen Geheimdienstes FSB zunehmend forsch gegen das Darkweb vorgehe. Dieser habe relativ lange relativ still zugesehen, sei aber im Lauf des vergangenen Jahres immer entschiedener gegen die illegalen Marktplätze vorgegangen. Allein im Januar und Februar 2022 habe der FSB fünf Darknetmarktplätze hochgenommen, die zusammen mehr als 600 Millionen Dollar Umsatz gemacht hatten. Darüber hinaus hat der FSB auch 14 Mitglieder der Ransomware-Gang REvil verhaftet. Diese härtere Gangart Russlands gegen die zuvor geduldeten Cyberkriminellen erstaunte viele Beobachter. Manche spekulierten, dass sie „Teil der intensiven Diplomatie zwischen Russland und den Vereinigten Staaten“ im Vorfeld der Ukraine-Invasion waren.
Hydra schien weiterhin die Duldung der russischen Regierung zu genießen, wobei die Entscheidung, die Seite in Deutschland zu hosten, nicht eben für ein übermäßig vertrauensvolles Verhältnis spricht. Dass das BKA ausgerechnet jetzt Russlands Darknet-Juwel hochnimmt, könnte eine wirkungsvollere Sanktion sein als die zögerlichen Blockaden von Banken und Exporten.
Schließlich hat Hydra Russland mit Drogen versorgt, den russischen Kriminellen die Geldwäsche ermöglicht und vermutlich auch Einnahmen aus dem Ausland – sei es durch Gebühren, Kreditkartenbetrug, Geldwäsche oder Drogenlieferungen – nach Russland gelotet. Wenn die Kriminalität ein essenzieller Teil der russischen Volkswirtschaft ist, dürfte der Shutdown von Hydra nicht zu unterschätzende Folgen haben. Zumindest sollte er die russische Drogenversorgung vorübergehend und teilweise austrocknen.
Etwas merkwürdig erscheint nun eine etwa zeitgleich veröffentlichte Pressemitteilung des US-Finanzministeriums. Dieses kündigt an, Sanktionen gegen Hydra, „den größten und bekanntesten Darknetmarket der Welt“, zu verhängen, um „die Verbreitung von schädlichen Cybercrime-Dienstleistungen, gefährlichen Drogen und anderen illegalen Angeboten“ zu unterbrechen. Man koopiere hierfür auch mit der Deutschen Bundespolizei, welche die Hydra-Server hochgenommen habe.
Warum sanktioniert das Finanzministerium einen Darknet-Marktplatz, von dem sie weiß, dass er nicht mehr in Betrieb ist? Vermutlich, um den Hydra-Shutdown wirkungsvoller in ein Bündel weiterer Maßnahmen zu integrieren. So sanktioniert das Finanzministerium auch die Börse Garantex, die in Estland registriert ist, da sie genutzt wird, um Coins aus dem russischen Cybercrime zu waschen. „Russland ist eine Oase für Cyberkriminelle. Die heutigen Aktionen gegen Hydra und Garantex bauen auf den vergangenen Sanktionen gegen Börysen wie SUEX und CHATEX auf, die beide, wie Garantex, von den Federation Towers (Federazija) in Moskau aus operiert werden.“ Darüber hinaus setzt das Finanzministerium mehr als 100 Krypto-Adressen auf eine Blacklist, weil sie in Verbindung zu Hydra stehen.
Diese Maßnahmen sollen, so das Finanzministerium, helfen, die Sanktionen gegen Einwohner Russlands durchzusetzen. Ob damit lediglich die aus Kriminalermittlungen resultierenden Sanktionen gemeint sind, oder auch die wegen des Krieges verhangenen, bleibt etwas unklar. Aber ohne Zweifel dürften die Schläge gegen den russischen Cybercrime dabei helfen, Lücken in den Finanzsanktionen gegen Russland zu schließen.
