Cyber-Kriminalität
Der erste vollständig globalisierte Markt
Dank der Kryptowährungen, die den „gefährlichen“ Geldtransfer unnötig machen, konnte sich der Untergrundmarkt internationalisieren, wobei eine zunehmende Spezialisierung des Angebots festzustellen ist. Ein Kommentar zum englischsprachigen Untergrund.
Save to Folio
Stellen Sie sich einen Marktplatz vor, auf dem sich Menschen aller Länder treffen, dort Waren und Dienstleistungen austauschen, wo man eine Sprache spricht oder sich durch KI übersetzen lässt, was man braucht. Es gibt keine Polizei, keine staatlichen Steuern oder Vorschriften. Vertrauen ist die stärkste Währung und der Ruf jedes Händlers wird öffentlich diskutiert. Eine Utopie oder doch eher eine Hölle?
Der digitale Untergrund entwickelt sich derzeit genau in diese Richtung. Mit Einführung der gemeinsamen Währung Bitcoin vollzog sich der Abbau einer sehr wichtigen Hürde – der Geldtransfer. Nun können „hochwertige“ Dienstleistungen wie z.B. Ransomware-as-a-Service bepreist und international entlohnt werden, ohne dass eine der beiden Seiten eine Enttarnung befürchten muss – dies dank Dienstleistungen wie Cryptocurrency-Mixer oder Cashout Services.
Folgerichtig erleben wir die Umwandlung der einst güterorientierten Geschäftsmodelle in Dienstleistungskonzepte. Bereits 2015 untersuchte Trend Micro die digitalen Untergrundmärkte und stellte dabei Unterschiede je nach Sprachpräferenz fest. Jetzt, zehn Jahre später, geht es darum, wie sehr sich die Marktplätze verändert haben. Die aktuell erste Untersuchung dieser Reihe widmet sich dem englischsprachigen Untergrund. Die Erkenntnisse auf anderssprachigen Marktplätzen werden im Laufe des Jahres folgen.
Drogen und Waffen verschwinden
2015 bot vor allem der englischsprachige Untergrundmarkt alles an, was illegal war. Dazu gehörten alle Arten von Drogen, Waffen oder Gewalttaten. Unter anderen cyberkriminellen Angeboten wie Malware fanden sich auch Auftragsmorde. 2025 lässt sich absehen, dass sich diese kriminellen Branchen mehr und mehr trennen. Wo eine Nachfrage, da ein Angebot, gilt selbstverständlich weiterhin. Allerdings spezialisieren sich die Foren und Marktplätze zunehmend. Gerade die cyberkriminellen „Geschäftspartner“ scheinen dabei Wert darauf zu legen, nicht mit „Drogenkurieren“ unter einem Dach zu agieren. Die Gründe dafür dürften weniger mit Moral zu tun haben als vielmehr mit rationalen Überlegungen.
Internationalisierung der Cybercrime-Szene
Polizeiliche Erfolge wie beispielsweise die Ausschaltung der bekannten Hydra- und Nemesis-Marktplätze durch deutsche Behörden haben der Branche schwer zugesetzt. Mit der Verhaftung des Telegram CEOs in Frankreich und der darauf folgenden Änderung der Geschäftsbedingungen des Messenger-Dienstes wurde zudem ein wichtiger Kommunikationsweg der Kriminellen gestört.
Die Auswirkungen dieser Operationen sind noch nicht vollständig auszumachen, aber schon jetzt konnten wir feststellen, dass Kriminelle zunehmend auf Foren ausweichen, die aus krimineller Sicht auf juristisch sicherem Terrain liegen. Entsprechend finden sich englischsprachige Posts vermehrt auf russischen und chinesischen Märkten wieder. Der Nebeneffekt scheint die zunehmende Spezialisierung zu sein, so etwa das Verschwinden anderer krimineller „Waren“ wie Drogen aus auf Cybertechnologie fokussierten Foren. Denn wenn beispielsweise die russische Regierung cyberkriminelle Taten, solange sie im Ausland stattfinden, nicht verfolgt, so hat auch sie eine sehr harte Linie im von ihr ausgerufenen „Kampf gegen Drogen“.
Spezialisierung
Wie bei jedem aufstrebenden Wirtschaftszweig spezialisieren sich die Protagonisten, um die steigende Nachfrage zu bedienen. Einige Täter fokussieren sich darauf, Zugänge zu potenziellen Opfern zu schaffen und verkaufen diese an andere Kriminelle – so genanntes Access-as-a-Service. Spitzenpreise für internationale Konzerne als Ziel sind auch schon mal fünfstellig. Natürlich bekommt man auch Ransomware und Hacking als Service angeboten.
Man kann sozusagen die eigenen Fähigkeiten ergänzen. Ist die Tat erfolgreich, bieten Geldwäschedienste gegen Gebühr die Umwandlung des dreckigen Geldes in sauberes an. Da dies nun schon eine Weile so funktioniert, haben sich einige Regionen bereits einen gewissen Ruf erarbeitet: Sucht man Ransomware, fragt man bei den Russen an, geht es um Social Engineering sind Westafrikaner geschickter. An West- und Mitteleuropäer wendet man sich, wenn sichere Infrastruktur benötigt wird – wobei zumindest hier der Ruf durch die oben genannten polizeilichen Erfolge etwas in Mitleidenschaft gezogen wurde.
„Hot“ und „Rising Star“
Unsere erste Untersuchung mit Fokus auf dem vorwiegend englischsprachigen Untergrund zeigt, dass hier vor allem Kriminalität im Zusammenhang mit Mobiltelefonen gefragt ist. Neben dem Knacken der Geräte geht es dabei auch um SMS Fraud sowie sogenanntes Spoofing, bei dem Telefonnummern gefälscht werden. Opfern begegnen diese Taten in Form von Fake-Paketlieferungs- oder Betrugsanrufen von beispielsweise Hotlines oder Banken. Eine florierende Untergrundwirtschaft liefert Anleitungen, Nummern und Umsetzungsleistungen, sowie das Umwandeln der heißen Ware in klingende Münze. Betrogen werden vor allem Privatnutzer und Einzelhändler.
Künstliche Intelligenz gehört dagegen noch zu den aufstrebenden Technologien. Auch im Untergrund hat der durch ChatGPT ausgelöste Hype ein Echo erzeugt, und Kriminelle versuchen die Technologie zu nutzen. Noch gibt es allerdings kaum konkrete Ergebnisse, mit zwei Ausnahmen. Zum einen wird die KI natürlich zur Optimierung aller auf Sprache basierenden Aktivitäten eingesetzt, vor allem bei Betrug, aber auch als nicht zu unterschätzende Hilfe bei internationaler Kommunikation zwischen Tätern bzw. zu Opfern. Auf der anderen Seite verwenden Kriminelle GenAI auch dazu, Captcha und sogar Know Your Customer (KYC)-Systeme zu umgehen. Letztere dienen beispielsweise als Schutz gegen illegale Kontoeröffnungen.
Fazit
Das Angebot im digitalen Untergrund ist vielfältig. Mehr Details können Sie in unserem Report nachlesen. Bedenklich stimmen die zunehmende Spezialisierung und die Tatsache, dass die gegenwärtigen politischen Spannungen für Kriminelle eher vorteilhaft sind. Russland ist in Sachen Cyberkriminalität ein Schwergewicht der Branche. Das von dort aktuell keine Strafverfolgung zu erwarten ist, bietet Kriminellen aus aller Welt einen sicheren Hafen -- solange sie nicht den russischen Interessen zuwider handeln. Auch wenn polizeiliche Erfolge Straftaten verhindern und streckenweise Täter ausschalten, so ist mittel- und langfristig eher eine Verschlechterung der Lage zu erwarten. Die Untersuchung des englischsprachigen Untergrunds ist deshalb nur der Auftakt einer Serie. Im Laufe des Jahres werden wir weitere Untergrundmärkte analysieren, darunter auch den russischen und deutschen „Markt“.