FBI beschlagnahmt RAMP-Hackerforum im Rahmen koordinierter Darknet-Aktion

Das Federal Bureau of Investigation (FBI) hat die Clearnet- und Darknet-Domains der Untergrundplattform RAMP beschlagnahmt. Die RAMP-Plattform dient als Hackerforum und bietet verschiedenen Gruppen, die an Ransomware-as-a-Service und anderen Cyberkriminalitätsaktivitäten beteiligt sind, Unterstützung.

Obwohl das FBI noch keine offizielle Stellungnahme dazu abgegeben hat, zeigen die vom Forum genutzten Domains nun Banner mit der Aufschrift „Das Federal Bureau of Investigation hat RAMP beschlagnahmt“. In den Bannern wurde darauf hingewiesen, dass die Aktion vom FBI in Abstimmung mit der Staatsanwaltschaft des südlichen Bezirks von Florida und der Abteilung für Computerkriminalität und geistiges Eigentum des Justizministeriums durchgeführt wurde.

FBI schaltet Untergrund-Hackerforum ab

RAMP, ursprünglich Russian Anonymous Marketplace, war ein beliebtes Darknet-Forum, das sich vorwiegend an russischsprachige Nutzer richtete, die in die Cyberkriminalität verwickelt waren. Dazu gehörten RaaS-Gangs und Initial Access Broker. Die Abschaltung wurde auch von einem Nutzer namens „Stallman“ bestätigt, der offenbar einer der Betreiber von RAMP ist. Dies geht aus einem aus dem Russischen übersetzten Beitrag in einem XSS-Hacking-Forum hervor, der auf der Blogging-Plattform X geteilt wurde

„Mit Bedauern muss ich Ihnen mitteilen, dass die Strafverfolgungsbehörden die Kontrolle über das Ramp-Forum übernommen haben. Dieses Ereignis hat meine jahrelange Arbeit, das freieste Forum der Welt zu schaffen, zunichtegemacht. Obwohl ich gehofft hatte, dass dieser Tag nie kommen würde, war mir tief im Inneren immer bewusst, dass es möglich war. Dieses Risiko gehen wir alle ein“, heißt es in dem Beitrag. Er fügte außerdem hinzu, dass er zwar nicht mehr die Kontrolle über Ramp habe, aber nicht beabsichtige, eine neue Plattform von Grund auf neu zu entwickeln.

Stallman fügte hinzu, dass er weiterhin Zugangsgeschäfte tätigen werde und sein Kerngeschäft unverändert bleibe. „Wenn Sie mir etwas anbieten können, finden Sie die Konditionen in meiner Signatur. Schreiben Sie mir privat, und wir tauschen uns über Jabber/Tox aus“, ergänzte er. Die Plattform diente nicht nur als Forum für Ransomware-Aktivitäten, sondern auch als Anlaufstelle für berüchtigte Gruppen wie LockBit, Qilin, RansomHub, ALPHV/BlackCat und DragonForce, um ihre Dienste zu bewerben.

Die Website enthielt außerdem mehrere Diskussionsforen, in denen Nutzer Anleitungen zu Cyberangriffen veröffentlichten. Ben Clarke, SOC-Manager bei CybaVerse, erklärte zur Abschaltung der Plattform, deren Erfolg darauf beruhte, Hackern die gesamte Angriffskette zur Verfügung zu stellen. Dies bedeutet, dass Nutzer auf Dienste zugreifen konnten, die vom Kauf gestohlenerdentüber die Verbreitung von Schadsoftware bis hin zum Verkauf und Kauf anderer Dienstleistungen reichten.

Wie effektiv sind diese Festnahmen?

Clarke erwähnte, dass die Abschaltung zwar die kriminelle Aktivität vorübergehend beeinträchtigen werde, die langfristigen Auswirkungen jedoch minimal sein könnten. „Alles, was diese Aktivitäten stört, ist ein positiver Schritt für die Verteidigung. Es wäre jedoch naiv zu glauben, dass dies einen spürbaren Einfluss auf die Cyberkriminalität haben wird“, sagte er. „Neue Marktplätze werden entstehen, um RAMP zu ersetzen, und Angreifer werden auf andere Plattformen ausweichen, um dort Dienste zu kaufen und zu verkaufen.“

In den letzten Jahren verzeichneten die Strafverfolgungsbehörden bei der Abschaltung von Plattformen unterschiedliche Erfolge. Zwar gelingt dies, doch werden diese Plattformen häufig wieder aktiviert, wie beispielsweise im Fall der Abschaltung des Emotet-Botnetzes im Jahr 2022. Die Plattform kehrte mit voller Wucht zurück. Laut Daniel Wilcock, Bedrohungsanalyst bei Talion, bedeutet dies jedoch nicht, dass diese Operationen wirkungslos sind. Er merkt an, dass die Abschaltung von Plattformen nach wie vor die beste Taktik für Strafverfolgungsbehörden darstellt, um Cyberkriminalität und wichtige Informationen zu gewinnen.

„Dies bedeutet zwar nicht das Ende von Ransomware, aber die Strafverfolgungsbehörden werden durch die Beschlagnahmung wertvolle Informationen über die Angreifer gewinnen, die die Dienste nutzten, beispielsweise deren E-Mail-Adressen und IP-Adressen sowie Zugang zu den auf dem Marktplatz getätigten Finanztransaktionen“, sagte er. „Dies könnte weitere Maßnahmen der Strafverfolgungsbehörden gegen die Angreifer, die die Website nutzten, unterstützen. Da RAMP jedoch hauptsächlich von russischen Kriminellen genutzt wurde, ist es höchst unwahrscheinlich, dass es zu vielen tatsächlichen Verhaftungen kommen wird.“

Erreichen Sie die klügsten Köpfe hinter Krypto-Investoren und -Entwicklern, indem Sie in Cryptopolitan