Russische Behörden nehmen bei Razzien im Zusammenhang mit Geldwäsche durch Cyberkriminelle nach Cryptex-Schließung ca. 100 Personen fest.
Die Hauptermittlungsabteilung des Untersuchungsausschusses Russlands für die Stadt Moskau hat ein Strafverfahren gegen die Betreiber des anonymen Zahlungssystems UAPS und der Kryptowährungsbörse Cryptex eingeleitet. Die Ermittlungen zum Fall kamen ins Laufen auf der Grundlage von Materialien, die dem Innenministeriums Russlands vorlagen. Geldwäsche-Razzien führten infolge zu 96 Festnahmen.
Einem Bericht der staatlichen russischen Nachrichtenagentur TASS vom 2. Oktober zufolge dreht es sich bei den Ermittlungen um Vorwürfe illegaler Bankaktivitäten, unberechtigten Zugriffs auf geschützte Informationen und den Betrieb einer nicht lizenzierten Zahlungsinfrastruktur. UAPS, gegründet 2013, und Cryptex, gestartet 2018, wurden dazu ins Leben gerufen, um 33 Online-Dienste zu unterstützen, die hauptsächlich Cyberkriminelle nutzten.
Russland nimmt Krypto-Austauschnetzwerke ins Visier
Nach Angaben des Untersuchungsausschusses gründete eine Gruppe von Personen mit Kenntnissen im Bankwesen im Jahr 2013 eine „kriminelle Vereinigung“ zum Zweck der persönlichen Bereicherung. Sie entwickelten dazu eine Infrastruktur, die das anonyme Zahlungssystem UAPS, die Kryptobörse Cryptex und 33 weitere Online-Dienste umfasste. Die Behörde teilte mit:
„Die Beschuldigten verübten illegale Aktivitäten wie den Umtausch von Währungen und Kryptowährungen, die Lieferung und Annahme von Bargeld sowie den Verkauf von Bankkarten und Privatkonten. Die Hauptkunden dieser Dienste waren Cyberkriminelle und Hacker, die die Dienste nutzten, um ihre kriminellen Einkünfte zu waschen. Die Untersuchung ergab, dass sich im Jahr 2023 der Umsatz der von den Diensten der kriminellen Gemeinschaft erhaltenen Gelder auf mehr als 112 Milliarden Rubel belief und das Einkommen der Angeklagten aus Straftaten 3,7 Milliarden Rubel betrug.“
Anonyme Dienste wie Cryptex dienten Cyberkriminellen und Hackern zur Geldwäsche
UAPS und die anderen anonymen Zahlungssysteme stehen vermutlich im Dienste von Cyberkriminellen, die sie für Geldtransfers und Geldwäsche nutzten. Cryptex, ein russischsprachiger Sofortwechseldienst, betrieb sowohl eine Handels- als auch eine Austauschplattform. Im Jahr 2022 startete das Unternehmen CryptexPay, um die Zahlungsabwicklung in Bitcoin (BTC) und Litecoin (LTC) zu unterstützen.
Die Börse wies dabei ausdrücklich darauf hin, dass das Unternehmen die AML/KYC-Anforderungen nicht unterstützt. Der Betreiber verlangte keine „Know Your Customer“ -Identitätsüberprüfung, die jedoch für US-Kryptobörsen erforderlich ist. Ohne KYC können Cyberkriminelle Konten einrichten und Geld unter einer falschen Identität (oder der einer anderen Person) überweisen und dabei weitgehend anonym bleiben.
UAPS (Universal Anonymous Payment System) erleichterte Zahlungen für mehrere betrügerische Shops, darunter Genesis Market und Brians Club. Das 2013 eingeführte System war ein Untergrund-Zahlungsabwickler, zu dem man nur auf Einladung Zugang erhielt. UAPS nutzte die Wallet-Infrastruktur gemeinsam mit der KYC-freien Börse PM2BTC. PM2BTC war seit 2014 aktiv.
Gründer der Krypto-Börse Cryptex angeklagt
Gemäß Gazeta.ru stehen gegen die Angeklagten Beschuldigungen im Raum wie „der Organisation und Beteiligung an einer kriminellen Vereinigung, Verschaffung von unrechtmäßigem Zugang zu Computerinformationen, illegale Zahlungsmittel in Umlauf zu bringen und illegale Bankaktivitäten durchzuführen“. Laut einer Erklärung der offiziellen Vertreterin des Innenministeriums der Russischen Föderation, Irina Volk, stellten die Angeklagten Bankkarten aus und ermöglichten den Zugriff auf Transaktionen über speziell eingerichtete persönliche Konten.
Den Fallunterlagen zufolge belief sich der Geldumschlag im Jahr 2023 im Dienste der kriminellen Vereinigung 112 Milliarden Rubel (1.065.311.184,00 Euro). Das geschätzte Einkommen der Angeklagten wird veranschlagt auf 3,7 Milliarden Rubel (35.187.089,00 Euro).
Polizeibeamte gingen mit Geldwäsche-Razzien gegen Cybercrime vor
Im Rahmen der Untersuchung führten die Ermittler 148 Durchsuchungen in 14 Regionen der Russischen Föderation, an den Wohnorten der Organisatoren und gegen Teilnehmer der kriminellen Vereinigung, durch. 96 Angeklagte des Falles wurden zur Vernehmung nach Moskau gebracht. Bei den Durchsuchungen haben die Beamten bei den Verdächtigen große Summen Bargeld, einen Tesla Cybertruck und einen Hubschrauber sichergestellt.
An den Razzien beteiligten sich Mitarbeiter der Abteilung zur Bekämpfung von Wirtschaftskriminalität (OBEP) der St. Petersburger Polizei und der Abteilung für wirtschaftliche Sicherheit der Hauptdirektion des Innenministeriums. Die Beamten fühten dabei Durchsuchungen an Dutzenden Adressen durch, die mit den illegalen Krypto-Austauschern in Verbindung standen. Die Beamten rückten bereits am frühen Morgen des 2. Oktober aus, unter anderem auch zu Sergei Ivanov.
Operation Endgame führt zur Beschlagnahme von Domänen, Servern und anderer Dienste-Infrastruktur
Die russische Operation erfolgte weniger als eine Woche, nachdem die US-Regierung Anklagen und Sanktionen gegen zwei Männer erlassen hatte, die angeblich mit dem UAPS-System in Verbindung stehen. Das US-Finanzministerium verhängte Sperrsanktionen gegen den Russen Sergei Ivanov und die zugehörigen Krypto-Börsen Cryptex und PM2BTC. Diese Aktion fiel gemäß Chainanlysis zugleich
„mit mehreren niederländischen und US-amerikanischen Strafverfolgungsmaßnahmen zusammen, bei denen die Domänen, Server und andere Infrastruktur der Dienste beschlagnahmt wurden. Die Financial and Tax Crime Investigation Services (FIOD) und die National High Tech Crime Unit (NHCTU) der Niederlande beschlagnahmten mit Unterstützung von Chainalysis und Tether Gelder im Wert von 7 Millionen Euro“.
Gleichzeitig setzte das US-Außenministerium eine Belohnung von bis zu 10 Millionen US-Dollar für Informationen aus, die zur Festnahme und/oder Verurteilung des 44-jährigen russischen Staatsbürgers Sergei Sergeevich Ivanov (alias UAPS oder TALEON) führen. Darüber hinaus erheben der US Secret Service und die US-Staatsanwaltschaft für den Eastern District of Virginia Aklage gegen Ivanov und einen weiteren russischen Staatsbürger, den 38-jährigen russischen Staatsbürger Timur Shakhmametov (alias JokerStash oder Vega). Das Department of Justice (DOJ) verdeutlichte:
„Ivanov soll die russischen Zahlungs- und Wechseldienste UAPS, PinPays und PM2BTC gegründet und/oder betrieben haben, die Geldtransfer- und Geldwäschedienste direkt an Kriminelle anboten. Eine Blockchain-Analyse von Kryptowährungen ergab, dass zwischen dem 12. Juli 2013 und dem 10. August über Kryptowährungsadressen, die mit Ivanovs angeblichen Geldwäschediensten in Verbindung stehen, Transaktionen im Gesamtwert von etwa 1,15 Milliarden Dollar durchgeführt wurden.
Etwa 32 % aller nachverfolgten Bitcoins, die an diese Adressen gesendet wurden, stammten von anderen Kryptowährungsadressen, die mit kriminellen Aktivitäten in Verbindung stehen. So sollen beispielsweise mehr als 158 Millionen Dollar an Bitcoins, die an Ivanovs Adressen flossen, aus Betrugserlösen stammen, mehr als 8,8 Millionen Dollar angeblich aus bekannten Ransomware-Zahlungen und etwa 4,7 Millionen Dollar angeblich aus Darknet-Drogenmärkten.“
Lisa Monaco, stellvertretende US-Generalstaatsanwältin, weist darauf hin:
„Die beiden heute angeklagten russischen Staatsbürger sollen durch umfangreiche Geldwäsche Millionen von Dollar eingesteckt und ein Netzwerk von Cyberkriminellen auf der ganzen Welt unterstützt haben, wobei Ivanov angeblich Darknet-Drogenhändler und Ransomware-Betreiber unterstützt hat.“
Demgemäß zählen zu den weiteren Anklagen gegen Ivanov die Unterstützung der Carding-Website Rescator bei der Zahlungsabwicklung und das Waschen illegaler Gelder aus Joker’s Stash. Dies war ein anderes beliebtes Carding-Forum, das im Februar 2021 freiwillig seinen Betrieb einstellte. Rescator verkaufte die persönlichen Daten von mindestens 70 Millionen Menschen. Diese standen mit einem Datendiebstahl im Jahr 2013 bei einem US-Einzelhändler in Verbindung.
Zahlungsabwicklungsdienste unterstützten Darknet-Markets wie Genesis Market und Brians Club
Zwei solcher Zahlungsabwicklungsdienste sind PinPays und UAPS (Universal Anonymous Payment System). Laut Chainalysis wickelte der Dienst Zahlungen für mehrere betrügerische Shops wie Genesis Market, BriansClub/Brian Dumps und Faceless ab.
Timur „JokerStash“ Shakhmametov, der zweite Angeklagte, soll eine ähnliche Website namens „Joker’s Stash“ betrieben haben. Die Plattform verkaufte den Opfern jährlich rund 40 Millionen Zahlungskarten. Gemäß DOJ wird Timur Shakhmametov:
„in derselben Anklage wegen Verschwörung zur Begehung und Beihilfe zum Bankenbetrug, Verschwörung zur Begehung von Zugangsgerätebetrug und Geldwäsche im Zusammenhang mit seiner Tätigkeit als Betreiber der Carding-Website Joker‘s Stash und der Geldwäsche der Erlöse angeklagt.
Joker‘s Stash bot jährlich Daten von etwa 40 Millionen Zahlungskarten zum Verkauf an, insgesamt also Hunderte Millionen Zahlungskarten, und war einer der größten bekannten Carding-Märkte der Geschichte. Schätzungen seines Gewinns reichen von 280 Millionen bis über eine Milliarde Dollar. Shakhmametov und andere sollen Joker‘s Stash und seine Produkte beworben haben, indem sie die Joker‘s Stash-Website und die gestohlenen Zahlungskartendaten in zahlreichen Online-Foren zur Internetkriminalität bewarben.“
KrebsOnSecurity weist darauf hin, dass Joker’s Stash einzigartig war. Sie
„behaupteten, nur Zahlungskarten zu verkaufen, die seine eigenen Hacker direkt von Händlern gestohlen hatten. Damals verkauften Markets normalerweise Zahlungskarten weiter, die von vielen Hackern unbekannter Zuverlässigkeit oder Reputation gestohlen und bereitgestellt worden waren“.
Gemäß Brian Krebs gab Joker’s Stash im Januar 2021 die Schließung seines Geschäfts bekannt, „nachdem die europäischen Behörden mehrere Server des betrügerischen Shops beschlagnahmt hatten und sein Inhaber am Coronavirus erkrankte“.
Diese parallel laufenden Bemühungen sind Teil der Operation Endgame. Die multilaterale, koordinierte Cyberoperation zwischen US-amerikanischen und europäischen Behörden hat die Zerschlagung der finanziellen Unterstützer transnationaler Cyberkriminalität zum Ziel.