LeakBase & Tycoon 2FA abgeschaltet: Zwei internationale Aktionen treffen zentrale Dienste der Cybercrime-Infrastruktur.
Innerhalb weniger Tage haben internationale Behörden zwei zentrale Plattformen der Cybercrime-Szene ausgeschaltet. Unter Koordination von Europol haben Ermittler das Datenhandelsforum LeakBase beschlagnahmt, während parallel der Phishing-as-a-Service-Dienst Tycoon 2FA vom Netz genommen wurde. Der kombinierte Schlag trifft die Cybercrime-Szene sowohl beim Handel mit gestohlenen Daten als auch bei der Infrastruktur für neue Angriffe.
LeakBase: Marktplatz für gestohlene Daten offline
Die Plattform LeakBase galt als einer der größten Online-Treffpunkte für den Handel mit gestohlenen Daten und Werkzeugen der Cyberkriminalität. Ermittler sprechen von über 142.000 registrierten Nutzern und mehr als 215.000 Nachrichten, die zwischen Mitgliedern ausgetauscht wurden. Auf dem Forum handelten Mitglieder unter anderem mit gestohlenen Zugangsdaten, kompletten Datenbanken aus Hackerangriffen sowie Kreditkarten- und Bankinformationen. Zudem tauchten dort sogenannte Stealer-Logs auf, also durch Malware abgegriffene Login-Daten.
Die Plattform war nicht im Darknet versteckt, sondern über das offene Web erreichbar. Ermittler beschreiben LeakBase daher als zentralen Umschlagplatz der Datenhehlerei im Internet.
Wie das U.S. Department of Justice in einer Pressemitteilung bekannt gab, führten Behörden aus 14 Ländern am 3. und 4. März koordinierte Maßnahmen durch. Dabei wurden Domains beschlagnahmt, Hausdurchsuchungen durchgeführt und mehrere Verdächtige festgenommen.
Nach Informationen der Welt begannen die Ermittlungen bereits 2023 in den Niederlanden. Das Cybercrime-Team der Amsterdamer Polizei identifizierte dabei auch die Server-Infrastruktur der Plattform, die sich in Amsterdam befunden haben soll. Die Untersuchungen wurden anschließend international ausgeweitet, unter anderem beteiligten sich Ermittler aus Deutschland.
Am 3. und 4. März griffen Strafverfolgungsbehörden schließlich in einer koordinierten Aktion in insgesamt 14 Ländern zu. Die Ermittler führten rund 100 Maßnahmen durch, die sich vor allem gegen 37 besonders aktive Nutzer der Plattform richteten. Die Amsterdamer Polizei arbeitete dabei eng mit dem FBI zusammen, während Europol die internationale Operation koordinierte.
Ermittler konnten die Datenbank des Forums sichern, einschließlich Nutzerkonten und Kommunikationsdaten, die nun als Grundlage für weitere Ermittlungen gegen Händler und Käufer gestohlener Daten dienen könnten. „Plattformen dieser Art sind der Motor für Cyberkriminalität“, erklärte die Amsterdamer Polizei laut Welt.
Phishing-Dienst vom Netz genommen: Tycoon 2FA hebelte Mehrfaktor-Authentifizierung aus
Nach Angaben von Europol wurde parallel zur LeakBase-Operation auch der Phishing-Service Tycoon 2FA abgeschaltet. Dabei handelte es sich um eine Phishing-as-a-Service-Plattform, die Cyberkriminellen gegen Bezahlung ein komplettes Toolkit für Angriffskampagnen bereitstellte.
Der Dienst nutzte Adversary-in-the-Middle-Techniken, mit denen Angreifer Login-Sessions und Authentifizierungscodes in Echtzeit abfangen konnten. Dadurch ließ sich selbst Mehrfaktor-Authentifizierung (MFA) umgehen. In vielen Bereichen gilt dieser Schutz noch immer als besonders zuverlässig.
Im Rahmen der internationalen Operation wurden 330 Domains beschlagnahmt, die zum Kern der Infrastruktur gehörten, darunter Phishing-Seiten und Kontrollsysteme der Plattform. Nach Angaben von Microsoft war Tycoon 2FA zeitweise für rund 62 Prozent aller von Microsoft blockierten Phishing-Angriffe verantwortlich und generierte monatlich Dutzende Millionen Phishing-E-Mails.
Die Plattform ermöglichte zahlreichen Cyberkriminellen weltweit, Online-Konten zu kompromittieren, darunter E-Mail-Accounts, Cloud-Dienste und Unternehmenssysteme.
Cybercrime-Plattformen abgeschaltet: Internationale Kooperation zwischen Behörden und Technologieunternehmen
Die Abschaltung von LeakBase und Tycoon 2FA zeigt, dass Ermittlungsbehörden bei der Bekämpfung von Cybercrime zunehmend direkt mit Technologie- und Sicherheitsunternehmen zusammenarbeiten. Bei der Tycoon-2FA-Operation waren unter anderem Microsoft, Cloudflare, Trend Micro, Coinbase, Proofpoint und Shadowserver Foundation beteiligt.
Europol koordinierte dabei den Informationsaustausch und die operative Zusammenarbeit zwischen Behörden und Privatunternehmen. Ziel war es, nicht nur einzelne Täter zu identifizieren, sondern gezielt die Infrastruktur der Cybercrime-Industrie zu stören.
Cybercrime als Geschäftsmodell: Daten, Tools und Dienstleistungen
Der gleichzeitige Schlag gegen LeakBase und Tycoon 2FA verdeutlicht, wie stark Cybercrime arbeitsteilig organisiert ist. Typischerweise greifen Cyberkriminelle auf mehrere spezialisierte Dienste zurück. Dazu zählen Datenmarktplätze für gestohlene Informationen, Phishing-Toolkits oder Malware-Services, Hosting-Infrastrukturen für Angriffe sowie Geldwäsche-Dienste, über die erbeutete Gewinne weitergeleitet werden.
LeakBase fungierte als Marktplatz für gestohlene Daten und andere Ressourcen der Cybercrime-Szene, während Tycoon 2FA einen spezialisierten Phishing-Dienst bereitstellte, mit dem Angreifer Accounts kompromittieren konnten. Die Abschaltung dieser Plattformen trifft damit zumindest vorübergehend mehrere Glieder der Cybercrime-Lieferkette.
Die Ermittlungen hinter der Abschaltung
Konkrete Ermittlungsdetails veröffentlichen Behörden in solchen Fällen nur selten vollständig. Dennoch lassen sich aus Berichten von Sicherheitsfirmen, Behörden und Medien mehrere Hinweise darauf ableiten, wie Ermittler Plattformen wie LeakBase oder den Phishing-Dienst Tycoon 2FA identifizieren und schließlich abschalten konnten.
Bei Tycoon 2FA spielte offenbar eine Kombination aus technischer Analyse, Undercover-Ermittlungen und Infrastruktur-Tracking eine Rolle. Sicherheitsforscher des Threat Detection & Research (TDR)-Teams von Sekoia entdeckten Tycoon 2FA im Oktober 2023, nachdem sie bei routinemäßigen Bedrohungsanalysen auf eine wachsende Infrastruktur von Phishing-Seiten gestoßen waren, die denselben Code und ähnliche technische Merkmale aufwiesen. Sie begannen anschließend, die Infrastruktur und Kampagnen der Plattform zu überwachen.
Solche Kampagnen lassen sich häufig über wiederkehrende Muster identifizieren. Dazu gehören identische Skripte, ähnliche Domainstrukturen oder gemeinsame Server-Infrastrukturen.
Undercover-Ermittlungen und technische Spuren
Wie das Wall Street Journal berichtet, infiltrierten Ermittler und Sicherheitsexperten den Phishing-Dienst Tycoon 2FA teilweise selbst, um dessen Funktionsweise zu analysieren und Beweise zu sammeln. Dabei gaben sich Ermittler als Kunden der Plattform aus und untersuchten sowohl technische Abläufe als auch Zahlungsströme innerhalb des Systems. Diese Erkenntnisse halfen später dabei, gerichtliche Anordnungen zu erwirken und zentrale Domains der Infrastruktur beschlagnahmen zu lassen.
Auch finanzielle Spuren spielen dabei häufig eine Rolle. Cybercrime-Dienste wickeln ihre Zahlungen häufig über Kryptowährungen ab. Durch Blockchain-Analysen lassen sich Transaktionen jedoch teilweise nachvollziehen und mit bestimmten Accounts oder Infrastrukturen verknüpfen.
Ein weiterer Faktor ist die Zusammenarbeit zwischen Behörden und privaten Sicherheitsunternehmen. Gerade bei groß angelegten Phishing-Kampagnen verfügen Technologie- und Sicherheitsunternehmen über umfangreiche Telemetriedaten zu verdächtigen Domains oder Angriffsmustern. Diese Informationen können Ermittlern helfen, größere Zusammenhänge innerhalb der Infrastruktur zu erkennen.
Im Fall von Tycoon 2FA kamen nach Angaben von Microsoft zudem koordinierte Maßnahmen gegen 330 Domains zum Einsatz, die als Teil der Phishing-Infrastruktur identifiziert worden waren. Durch gerichtliche Anordnungen konnten diese Domains schließlich beschlagnahmt oder abgeschaltet werden.
Derartige Operationen zeigen, dass die Zerschlagung großer Cybercrime-Plattformen oftmals nicht auf einen einzelnen Fehler der Betreiber zurückzuführen ist. Stattdessen handelt es sich häufig um das Ergebnis längerfristiger Ermittlungen, bei denen technische Analyse, internationale Zusammenarbeit und klassische Polizeiarbeit zusammenkommen.
Cybercrime-Plattformen abgeschaltet – aber kein Ende der Cybercrime-Szene
Dass LeakBase und Tycoon 2FA abgeschaltet wurden, wird von den Ermittlern als Erfolg gefeiert. Die Operation zeigt, dass Behörden zunehmend versuchen, die Infrastruktur hinter Cyberangriffen systematisch zu zerstören.
Allerdings dürfte die Szene schnell reagieren. In der Vergangenheit sind nach der Abschaltung großer Foren oder Dienste häufig neue Plattformen entstanden, die deren Rolle übernehmen.
