In den USA wurden zwei Männer angeklagt, weil sie angeblich an der Administration eines Darknet-Marketplace namens WWH-Club beteiligt waren.
Die US-Bundesbehörden haben Anklage gegen den Kasachstaner Alex Khodyrev und den russischen Staatsbürger Pavel Kublitskii erhoben, weil sie angeblich den Darknet-Marktplace WWH-Club betrieben haben. Die Anklage aus Tampa im Bundesstaat Florida wirft den Beschuldigten Verschwörung zum Zwecke des Zugangsgerätebetrugs und Überweisungsbetrugs vor. Trotz der Verhaftungen ist der WWH-Club weiterhin aktiv.
Dem Duo wird zur Last gelegt, zwischen 2014 und 2024 als Hauptadministratoren des WWH-Clubs und verschiedener anderer Schwesterseiten, die als Darknet-Marktplätze, Foren und Schulungszentren dienten, Cyberkriminalität zu ermöglichen. Speziell sollen die beiden zentrale Rollen im WWH-Club gespielt haben, wie die Infrastruktur der Plattform zu verwalten, Regeln durchzusetzen und Benutzer zu betrügerischen Aktivitäten anzuleiten. Um der Strafverfolgung zu entgehen, setzten sie angeblich Taktiken wie Kryptowährungs-Mixing und dezentrale Servernetzwerke ein.
WWH-Club dient als krimineller Knotenpunkt im Darknet und lebt vom Kauf und Verkauf gestohlener Kreditkartendaten, persönlicher Informationen und Schadsoftware. Gemäß Flashpoint gilt WWH-Club als eines der größten russischsprachigen Carding-Foren. Das Forum diene dabei als Einstiegsplattform für größere und etabliertere Foren wie Exploit und XSS.
WWH-Club bietet aber zudem Schulungen für angehende Cyberkriminelle an und betreibt einen Treuhandservice zum Schutz illegaler Transaktionen. Der Wirkungsbereich der Angeklagten erstreckte sich angeblich weit über den WWH-Club hinaus auf mehrere andere Darknet-Plattformen. In einer Pressemitteilung der US-Staatsanwaltschaft für den mittleren Bezirk von Florida vom 6. September heißt es diesbezüglich:
„Mitglieder des WWH-Clubs und der Schwesterseiten nutzten die Marktplätze, um gestohlene personenbezogene Daten (PII), Kreditkarten- und Bankkontodaten sowie Computerpasswörter und andere sensible Informationen zu kaufen und zu verkaufen. In den Foren des WWH Clubs und seiner Schwesterseiten diskutierten Benutzer unter anderem über bewährte Vorgehensweisen bei der Begehung von Betrug, der Durchführung von Cyberangriffen und der Umgehung von Strafverfolgungsbehörden.“
WWH-Club: Kreuzung aus Ebay und Reddit
Bis zum Jahr 2023 waren auf dem Darknet-Marketplace WWH-Club mehr als 353.000 Konten registriert, die größtenteils in Cyberkriminalität verwickelt waren, vom Handel mit personenbezogenen Daten (PII) und Bankdaten bis hin zur Diskussion von Taktiken zur Flucht vor der Polizei. Das russischsprachige Cybercrime-Forum verglich ein FBI-Agent mit „einer Kreuzung aus Ebay und Reddit, die nur zum Zweck der Förderung und Erleichterung von Verbrechen existiert“.
WWH-Club diente als Trainingsgelände für aufstrebende Cyberkriminelle
Der WWH-Club ist jedoch nicht nur ein Darknet-Marketplace, sondern bietet auch eine Möglichkeit zur Fortbildung. Angehenden Cyberkriminellen bietet man Kurse in den Bereichen Betrug und Cybercrime an. Einnahmen erzielen die Betreiber mittels eigenem Treuhandservice, Kursgebühren und dem Verkauf von Werbeflächen. Allein die angegebenen Kosten für die Kurse lagen zwischen 10.000 und 60.000 Rubel (etwa 110 bis 664 US-Dollar am 7. September 2024) zuzüglich 200 US-Dollar für Schulungsmaterialien.
Diese mutmaßlichen kriminellen Machenschaften förderten einen luxuriösen Lebensstil der Betreiber. Behörden beschlagnahmten hochwertige Fahrzeuge wie einen Mercedes-Benz G63 AMG von 2023 und eine Cadillac CT5 Sportlimousine von 2020. Der verschwenderische Lebensstil des Duos, von Geldausgaben über Luxuskäufe, erregte die Aufmerksamkeit der US-Steuerbehörde.
Obwohl Kublitskii und Khodyrev offensichtlich kein legales Einkommen hatten, gönnten sie sich einen luxuriösen Lebensstil. Einschließlich einer Bareinzahlung von 50.000 Dollar auf ein Bankkonto, einer Luxusmietwohnung in Sunny Isles Beach und extravaganten Ausgaben für Touristenattraktionen. Ebenso sorgte Khodyrevs Barkauf einer Chevrolet Corvette Baujahr 2023 für 110.000 Dollar für Aufsehen, heißt es in den Gerichtsdokumenten.
Khodyrev, ein kasachischer Staatsbürger, und Kublitskii, ein russischer Staatsbürger, wurden verhaftet, als sie in Miami lebten. Die beiden hielten sich in den letzten zwei Jahren in den USA auf. Im Dezember 2022 beantragten sie in den USA Asyl. Im Falle einer Verurteilung droht den beiden eine Gefängnisstrafe von bis zu 20 Jahren.
FBI-Agent infiltrierte WWH-Club zwecks Aufdeckung der Betrugsmaschen
Gerichtsdokumente belegen, dass sich im Januar 2023 ein verdeckter FBI-Agent auf der Website anmeldete. Dabei zahlte er etwa 1.000 Dollar in Bitcoin, um an einem von der Plattform angebotenen Schulungskurs teilzunehmen. Angebotene Themen umfassten den Verkauf vertraulicher Informationen, DDoS- und Hacking-Dienste, Kreditkarten-Skimming und Brute-Force-Programme. In der Strafanzeige heißt es:
„Die Schulung wurde über eine Chatfunktion im Forum für eine Klasse von etwa 50 Schülern durchgeführt; die verschiedenen Lehrer erteilten die Schulung in Textform statt in Hörform. Es war offensichtlich, dass der Zweck der Schulung darin bestand, Einzelpersonen zu erklären, wie sie gestohlene Kreditkartendaten und PII erhalten und verwenden können, um betrügerische Gewinne zu erzielen.“
DigitalOcean liefert entscheidende Ermittlungs-Hinweise
Aber auch DigitalOcean, ein US-amerikanischer Cloud-Computing-Anbieter, spielte bei den Ermittlungen eine entscheidende Rolle. Ein Durchsuchungsbefehl im Jahr 2020 zwang das Unternehmen, Daten über die Aktivitäten des WWH-Clubs herauszugeben. Eine Kopie des Hauptservers der Website lieferte zum Fall die entscheidenden Beweise.
Die Anklage folgt auf eine Untersuchung, die das US-amerikanische Federal Bureau of Investigation (FBI) im Juli 2020 eingeleitet hatte, nachdem festgestellt worden war, dass die primäre Domain des WWH Club (www-club[.]ws]) in eine IP-Adresse von DigitalOcean aufgelöst wurde. Die Erkenntnis ermöglichte es dem FBI, einen bundesstaatlichen Durchsuchungsbefehl gegen den Cloud-Computing-Anbieter zu erlassen.
Flashpoint stellte eigene Ermittlungen an. Sie teilen mit:
„Trotz ihrer Verhaftungen bleibt WWH-Club online und aktiv. Darüber hinaus scheinen WWH-Club und seine anderen Administratoren zu versuchen, sich von Kublitskii und Khodyrev zu distanzieren – sie behaupten, sie seien nur Moderatoren und hätten keine administrativen Rechte für das Forum. Dies widerspricht den in der offiziellen Strafanzeige veröffentlichten Details.
Flashpoint hat außerdem herausgefunden, dass der WWH-Club die angeblichen Konten von Kublitskii und Khodyrev gelöscht hat und seinen aktuellen Mitgliedern die Möglichkeit bietet, ihre Benutzernamen zu ändern. Dies könnte eine Gegenmaßnahme sein, um mögliche Folgeuntersuchungen zu verschleiern.“