Das US-Justizministerium erhob Anklage gegen 19 Personen, die sich am Betrieb und der Nutzung des xDedic-Cybercrime-Marketplace beteiligten.
Das US-Justizministerium gab am Donnerstag in einer Pressemitteilung, „den Abschluss einer länderübergreifenden Cybercrime-Untersuchung im Zusammenhang mit dem xDedic Marketplace“ bekannt. Mit der Zerschlagung der multinationalen kriminellen Organisationen fanden die Ermittlungen gegen den Darknet-Marketplace xDedic ein Ende.
19 Personen sind bereits angeklagt
Nach Angaben des Justizministeriums hat die US-Staatsanwaltschaft nach der Abschaltung des xDedic-Cybercrime-Marketplace bislang 19 Personen angeklagt. Während einige noch auf die Verhandlung warten, sitzen andere wiederum schon ihre Strafe im Gefängnis ab.
Mit Analysen zu xDedic, die Ende 2014 starteten, beschäftigte sich schon im Jahr 2016 Kaspersky Lab. Die Sicherheitsforscher kamen damals zu dem Schluss:
„Die große Menge an zum Verkauf stehenden Servern macht den xDedic-Marktplatz attraktiv für gezielte Angriffsbetreiber mit knappen Ressourcen, die natürlich einer Entdeckung entgehen wollen, aber Probleme haben, einen Zugangspunkt in das Netzwerk eines Opfers zu finden. Und 8 US-Dollar sind ein sehr niedriger Preis für den vollständigen Zugang zu potenziellen hochkarätigen Zielen. Durch diese einmaligen Kosten erhält ein böswilliger Kunde Zugriff auf alle Daten auf dem Server sowie weitere Möglichkeiten – beispielsweise die Nutzung des Servers als eine Art Brückenkopf für weitere Angriffe.“
Bevor xDedic Marketplace 2019 von den Behörden geschlossen wurde, verkauften sie dort Anmeldeinformationen (Benutzernamen und Passwörter) zu Computern weltweit. Die Website war sowohl berüchtigt für den illegalen Vertrieb von Server-Logins als auch von personenbezogenen Daten von US-Bürgern. Darunter Sozialversicherungsnummern und Geburtsdaten. Gemäß Europol funktionierte die Site sowohl im Clearnet als auch im Darknet.
Nach dem Kauf nutzten Kriminelle diese Server, um eine Vielzahl illegaler Aktivitäten zu ermöglichen, wie Steuerbetrug und Ransomware-Angriffe. Die xDedic-Administratoren legten besonderen Wert auf eine hohe Betriebssicherheit. Sie betrieben die Website über ein weit verteiltes internationales Netzwerk und nutzten Kryptowährungen, um die Standorte der zugrunde liegenden Server des Marktplatzes und die Identitäten seiner Administratoren, Verkäufer und Käufer zu verbergen.
Zu den Opfern von xDedic zählen weltweit verschiedene Branchen, darunter lokale, staatliche und bundesstaatliche Infrastruktur, Krankenhäuser, Rettungsdienste, Callcenter, große städtische Verkehrsbehörden, Buchhaltungs- und Anwaltskanzleien, Pensionsfonds und Universitäten.
Im Januar 2019 beschlagnahmte die US-Staatsanwaltschaft für den mittleren Distrikt von Florida (Abteilung Tampa) die Domainnamen von xDedic und demontierte die Infrastruktur der Website, wodurch ihr Betrieb praktisch eingestellt wurde. Eurojust gab damals bekannt, dass die belgische Bundesanwaltschaft im Juni 2016 mit den Ermittlungen zum xDedic-Marktplatz begann. Mithilfe spezieller Ermittlungstechniken wurde die kriminelle Infrastruktur hinter xDedic sichtbar gemacht und digitale Kopien der wichtigsten kriminellen Server beschafft.
Beschlagnahmte Server führten zu Website-Admins
Eine gründliche Analyse des Serverinhaltes führte zur Identifizierung von Website-Administratoren in der Ukraine. Die internationale Operation war das Ergebnis einer engen Zusammenarbeit mit den Strafverfolgungsbehörden in Belgien und der Ukraine, der europäischen Strafverfolgungsbehörde Europol, der National High Tech Crime Unit der niederländischen Nationalpolizei und dem deutschen Bundeskriminalamt.
Die Website listete damals mehr als 700.000 kompromittierte Server zum Verkauf auf, von denen mindestens 150.000 in den USA und etwa 8.000 allein in Florida betroffen waren, gab US-Staatsanwalt Roger B. Handberg vom Middle District of Florida bekannt. Handberg resümiert:
„In den Jahren nach der Schließung des xDedic-Marktplatzes hat die US-Staatsanwaltschaft gegen Personen ermittelt und Anklage erhoben, die auf allen Ebenen in den Betrieb der Website involviert waren, einschließlich der Administratoren, Server-Verkäufer und -Käufer“.
Die Schließung des Marketplaces im Januar 2019 hatte internationale Ausmaße. Die Behörden schätzten, dass xDedic zu einem weltweiten Betrug in Höhe von mehr als 68 Millionen US-Dollar beigetragen hatte, da Cyberkriminelle die gestohlenen Daten für eine Vielzahl illegaler Aktivitäten nutzten, darunter Steuerbetrug und Ransomware-Angriffe.
Seitdem hat das US-Justizministerium mit den Strafverfolgungsbehörden in Belgien und der Ukraine sowie mit Europol, der niederländischen Nationalpolizei und dem deutschen Bundeskriminalamt zusammengearbeitet, um Verdächtige anzuklagen und zur Strafverfolgung an die Vereinigten Staaten auszuliefern.
xDedic-Admins bereits im Gefängnis
Die US-Staatsanwaltschaft erhob abschließend Anklage gegen 19 Personen, die auf verschiedenen Ebenen des Website-Betriebs involviert waren. Darunter Administratoren und Website-Entwickler bis hin zu Server-Verkäufern, Käufern und Kundendienstmitarbeitern.
Zwei xDedic-Administratoren, der Moldauer A. Habasescu und der Ukrainer P. Kharmanskyi, verurteilten Gerichte bereits zu 41 bzw. 30 Monaten Gefängnis. Beamte nahmen Habasescu 2022 auf den spanischen Kanarischen Inseln fest. Kharmanskyis Festnahme erfolgte 2019 am Miami International Airport bei seinem Versuch, in die USA einzureisen. Habasescu war der „führende Entwickler und technische Vordenker“ des Marktes. Kharmanskyi leistete Zahlungen, unterstützte Käufer und war für die Werbung zuständig.
12 von 19 Verdächtigen wurden im Anschluss an die internationale Untersuchung der Aktivitäten von xDedic angeklagt und bereits verurteilt. Das Strafmaß schwankte dabei zwischen fünf Jahren auf Bewährung bis hin zu 78 Monate Gefängnis. Bei fünf steht eine Verhandlung noch an. Zwei stehen vor der Auslieferung aus Großbritannien an die USA.