LeakBase und Tycoon 2FA abgeschaltet: Doppelschlag gegen Cybercrime-Lieferkette

LeakBase & Tycoon 2FA abgeschaltet: Zwei internationale Aktionen treffen zentrale Dienste der Cybercrime-Infrastruktur.

LeakBase: Marktplatz für gestohlene Daten offline

Phishing-Dienst vom Netz genommen: Tycoon 2FA hebelte Mehrfaktor-Authentifizierung aus

Cybercrime-Plattformen abgeschaltet: Internationale Kooperation zwischen Behörden und Technologieunternehmen

Cybercrime als Geschäftsmodell: Daten, Tools und Dienstleistungen

Die Ermittlungen hinter der Abschaltung

Undercover-Ermittlungen und technische Spuren

Cybercrime-Plattformen abgeschaltet – aber kein Ende der Cybercrime-Szene

Innerhalb weniger Tage haben internationale Behörden zwei zentrale Plattformen der Cybercrime-Szene ausgeschaltet. Unter Koordination von Europol haben Ermittler das Datenhandelsforum LeakBase beschlagnahmt, während parallel der Phishing-as-a-Service-Dienst Tycoon 2FA vom Netz genommen wurde. Der kombinierte Schlag trifft die Cybercrime-Szene sowohl beim Handel mit gestohlenen Daten als auch bei der Infrastruktur für neue Angriffe.

LeakBase: Marktplatz für gestohlene Daten offline

Die Plattform LeakBase galt als einer der größten Online-Treffpunkte für den Handel mit gestohlenen Daten und Werkzeugen der Cyberkriminalität. Ermittler sprechen von über 142.000 registrierten Nutzern und mehr als 215.000 Nachrichten, die zwischen Mitgliedern ausgetauscht wurden. Auf dem Forum handelten Mitglieder unter anderem mit gestohlenen Zugangsdaten, kompletten Datenbanken aus Hackerangriffen sowie Kreditkarten- und Bankinformationen. Zudem tauchten dort sogenannte Stealer-Logs auf, also durch Malware abgegriffene Login-Daten.

Die Plattform war nicht im Darknet versteckt, sondern über das offene Web erreichbar. Ermittler beschreiben LeakBase daher als zentralen Umschlagplatz der Datenhehlerei im Internet.

Wie das U.S. Department of Justice in einer Pressemitteilung bekannt gab, führten Behörden aus 14 Ländern am 3. und 4. März koordinierte Maßnahmen durch. Dabei wurden Domains beschlagnahmt, Hausdurchsuchungen durchgeführt und mehrere Verdächtige festgenommen.

Nach Informationen der Welt begannen die Ermittlungen bereits 2023 in den Niederlanden. Das Cybercrime-Team der Amsterdamer Polizei identifizierte dabei auch die Server-Infrastruktur der Plattform, die sich in Amsterdam befunden haben soll. Die Untersuchungen wurden anschließend international ausgeweitet, unter anderem beteiligten sich Ermittler aus Deutschland.

Am 3. und 4. März griffen Strafverfolgungsbehörden schließlich in einer koordinierten Aktion in insgesamt 14 Ländern zu. Die Ermittler führten rund 100 Maßnahmen durch, die sich vor allem gegen 37 besonders aktive Nutzer der Plattform richteten. Die Amsterdamer Polizei arbeitete dabei eng mit dem FBI zusammen, während Europol die internationale Operation koordinierte.

Ermittler konnten die Datenbank des Forums sichern, einschließlich Nutzerkonten und Kommunikationsdaten, die nun als Grundlage für weitere Ermittlungen gegen Händler und Käufer gestohlener Daten dienen könnten. „Plattformen dieser Art sind der Motor für Cyberkriminalität“, erklärte die Amsterdamer Polizei laut Welt.

Phishing-Dienst vom Netz genommen: Tycoon 2FA hebelte Mehrfaktor-Authentifizierung aus

Nach Angaben von Europol wurde parallel zur LeakBase-Operation auch der Phishing-Service Tycoon 2FA abgeschaltet. Dabei handelte es sich um eine Phishing-as-a-Service-Plattform, die Cyberkriminellen gegen Bezahlung ein komplettes Toolkit für Angriffskampagnen bereitstellte.

Der Dienst nutzte Adversary-in-the-Middle-Techniken, mit denen Angreifer Login-Sessions und Authentifizierungscodes in Echtzeit abfangen konnten. Dadurch ließ sich selbst Mehrfaktor-Authentifizierung (MFA) umgehen. In vielen Bereichen gilt dieser Schutz noch immer als besonders zuverlässig.

Im Rahmen der internationalen Operation wurden 330 Domains beschlagnahmt, die zum Kern der Infrastruktur gehörten, darunter Phishing-Seiten und Kontrollsysteme der Plattform. Nach Angaben von Microsoft war Tycoon 2FA zeitweise für rund 62 Prozent aller von Microsoft blockierten Phishing-Angriffe verantwortlich und generierte monatlich Dutzende Millionen Phishing-E-Mails.

Die Plattform ermöglichte zahlreichen Cyberkriminellen weltweit, Online-Konten zu kompromittieren, darunter E-Mail-Accounts, Cloud-Dienste und Unternehmenssysteme.

Cybercrime-Plattformen abgeschaltet: Internationale Kooperation zwischen Behörden und Technologieunternehmen

Die Abschaltung von LeakBase und Tycoon 2FA zeigt, dass Ermittlungsbehörden bei der Bekämpfung von Cybercrime zunehmend direkt mit Technologie- und Sicherheitsunternehmen zusammenarbeiten. Bei der Tycoon-2FA-Operation waren unter anderem Microsoft, Cloudflare, Trend Micro, Coinbase, Proofpoint und Shadowserver Foundation beteiligt.

Europol koordinierte dabei den Informationsaustausch und die operative Zusammenarbeit zwischen Behörden und Privatunternehmen. Ziel war es, nicht nur einzelne Täter zu identifizieren, sondern gezielt die Infrastruktur der Cybercrime-Industrie zu stören.

Cybercrime als Geschäftsmodell: Daten, Tools und Dienstleistungen

Der gleichzeitige Schlag gegen LeakBase und Tycoon 2FA verdeutlicht, wie stark Cybercrime arbeitsteilig organisiert ist. Typischerweise greifen Cyberkriminelle auf mehrere spezialisierte Dienste zurück. Dazu zählen Datenmarktplätze für gestohlene Informationen, Phishing-Toolkits oder Malware-Services, Hosting-Infrastrukturen für Angriffe sowie Geldwäsche-Dienste, über die erbeutete Gewinne weitergeleitet werden.

LeakBase fungierte als Marktplatz für gestohlene Daten und andere Ressourcen der Cybercrime-Szene, während Tycoon 2FA einen spezialisierten Phishing-Dienst bereitstellte, mit dem Angreifer Accounts kompromittieren konnten. Die Abschaltung dieser Plattformen trifft damit zumindest vorübergehend mehrere Glieder der Cybercrime-Lieferkette.

Die Ermittlungen hinter der Abschaltung

Konkrete Ermittlungsdetails veröffentlichen Behörden in solchen Fällen nur selten vollständig. Dennoch lassen sich aus Berichten von Sicherheitsfirmen, Behörden und Medien mehrere Hinweise darauf ableiten, wie Ermittler Plattformen wie LeakBase oder den Phishing-Dienst Tycoon 2FA identifizieren und schließlich abschalten konnten.

Bei Tycoon 2FA spielte offenbar eine Kombination aus technischer Analyse, Undercover-Ermittlungen und Infrastruktur-Tracking eine Rolle. Sicherheitsforscher des Threat Detection & Research (TDR)-Teams von Sekoia entdeckten Tycoon 2FA im Oktober 2023, nachdem sie bei routinemäßigen Bedrohungsanalysen auf eine wachsende Infrastruktur von Phishing-Seiten gestoßen waren, die denselben Code und ähnliche technische Merkmale aufwiesen. Sie begannen anschließend, die Infrastruktur und Kampagnen der Plattform zu überwachen.

Solche Kampagnen lassen sich häufig über wiederkehrende Muster identifizieren. Dazu gehören identische Skripte, ähnliche Domainstrukturen oder gemeinsame Server-Infrastrukturen.

Undercover-Ermittlungen und technische Spuren

Wie das Wall Street Journal berichtet, infiltrierten Ermittler und Sicherheitsexperten den Phishing-Dienst Tycoon 2FA teilweise selbst, um dessen Funktionsweise zu analysieren und Beweise zu sammeln. Dabei gaben sich Ermittler als Kunden der Plattform aus und untersuchten sowohl technische Abläufe als auch Zahlungsströme innerhalb des Systems. Diese Erkenntnisse halfen später dabei, gerichtliche Anordnungen zu erwirken und zentrale Domains der Infrastruktur beschlagnahmen zu lassen.

Auch finanzielle Spuren spielen dabei häufig eine Rolle. Cybercrime-Dienste wickeln ihre Zahlungen häufig über Kryptowährungen ab. Durch Blockchain-Analysen lassen sich Transaktionen jedoch teilweise nachvollziehen und mit bestimmten Accounts oder Infrastrukturen verknüpfen.

Ein weiterer Faktor ist die Zusammenarbeit zwischen Behörden und privaten Sicherheitsunternehmen. Gerade bei groß angelegten Phishing-Kampagnen verfügen Technologie- und Sicherheitsunternehmen über umfangreiche Telemetriedaten zu verdächtigen Domains oder Angriffsmustern. Diese Informationen können Ermittlern helfen, größere Zusammenhänge innerhalb der Infrastruktur zu erkennen.

Im Fall von Tycoon 2FA kamen nach Angaben von Microsoft zudem koordinierte Maßnahmen gegen 330 Domains zum Einsatz, die als Teil der Phishing-Infrastruktur identifiziert worden waren. Durch gerichtliche Anordnungen konnten diese Domains schließlich beschlagnahmt oder abgeschaltet werden.

Derartige Operationen zeigen, dass die Zerschlagung großer Cybercrime-Plattformen oftmals nicht auf einen einzelnen Fehler der Betreiber zurückzuführen ist. Stattdessen handelt es sich häufig um das Ergebnis längerfristiger Ermittlungen, bei denen technische Analyse, internationale Zusammenarbeit und klassische Polizeiarbeit zusammenkommen.

Cybercrime-Plattformen abgeschaltet – aber kein Ende der Cybercrime-Szene

Dass LeakBase und Tycoon 2FA abgeschaltet wurden, wird von den Ermittlern als Erfolg gefeiert. Die Operation zeigt, dass Behörden zunehmend versuchen, die Infrastruktur hinter Cyberangriffen systematisch zu zerstören.

Allerdings dürfte die Szene schnell reagieren. In der Vergangenheit sind nach der Abschaltung großer Foren oder Dienste häufig neue Plattformen entstanden, die deren Rolle übernehmen.

Antonia ist bereits seit Januar 2016 Autorin bei der Tarnkappe. Eingestiegen ist sie zunächst mit Buch-Rezensionen. Inzwischen schreibt sie bevorzugt über juristische Themen, wie P2P-Fälle, sie greift aber auch andere Netzthemen, wie Cybercrime, auf. Ihre Interessen beziehen sich hauptsächlich auf Literatur.

Illegales IPTV-Netzwerk zerschlagen: Operation Switch Off trifft Millionen Nutzer weltweit

Operation Switch Off zerschlägt ein illegales IPTV-Netzwerk. Millionen Nutzer betroffen, Plattformen wie IPTVItalia und DarkTV offline.

Cardsharing kein Computerbetrug: BGH verneint den Vermögensschaden

Der BGH verneint den Vermögensschaden beim Pay-TV-Cardsharing. § 263a StGB scheidet aus, strafbar bleibt es dennoch.

Falschgeld aus China: Europol stellt 1,2 Milliarden Euro sicher

Europol stellt 1,2 Milliarden Euro Falschgeld aus China sicher. Die Operation DECOY III legt internationales Fälschernetzwerk offen.

US-Behörden schließen Torrentseiten: Zamunda, ArenaBG und Zelka per Domain-Seizure offline

US-Behörden schließen Torrentseiten: Die Domains von Zamunda, ArenaBG und Zelka wurden per Domain-Seizure international beschlagnahmt.

BreachForums erneut kompromittiert: Leak von 324.000 Accounts befeuert Honeypot-Verdacht

BreachForums erneut kompromittiert: Leak von 324.000 Accounts, IP-Adressen und PGP-Schlüssel entfacht neue Honeypot-Debatte.

Facebook-Betrug: Angebliche MediaMarkt-Laptops für 4 Euro zielen auf Menschen ab 45

4-Euro-Laptops für Menschen ab 40? Hinter angeblichen MediaMarkt-Angeboten steckt dreister Facebook-Betrug.

Cybercrime-Azubi vor Gericht: Über 500.000 Euro Schaden durch Online-Betrug

Einem 27-jährigen Azubi werden mehrere Cybercrime-Delikte vorgeworfen. Der Schaden soll mehr als 500.000 Euro betragen.

Address Poisoning Scam: Copy-Paste-Fehler kostet Krypto-Nutzer 50 Millionen Dollar

Address Poisoning Scam: Ein Krypto-Nutzer verliert 50 Millionen Dollar durch einen simplen Copy-Paste-Fehler.

Illegale IPTV-Netzwerke brechen ein: EU und Binance kappen die Finanzadern

EU-Behörden und Binance zerschlagen bei der Operation „Cyber Patrol“ kryptofinanzierte illegale IPTV-Netzwerke.

Telegram für Cyberkriminelle zunehmend unattraktiv

Telegram greift vermehrt durch. Die längere Lebensdauer von Untergrund-Kanälen in diesem Netzwerk trifft auf viel höhere Sperrquoten.

IPTV-Betrug: Studie enthüllt massiven Scam mit Piraten-Streams

Neue Studie deckt auf: 40 % der illegalen Streamer werden Opfer von Betrug. IPTV-Betrug ist ein digitales Risiko.

Swissquote: Neue Phishing-Kampagne nutzt Steuerformular der IRS

Derzeit verschicken Cyberkriminelle Phishing-Mails im Namen der Swissquote Bank, die zur Erneuerung des W-8BEN-Forumlars auffordern.

CyberVolk-Ransomware: VolkLocker liefert Entschlüsselungs-Key gleich mit

CyberVolk-Ransomware ist zurück: VolkLocker läuft komplett über Telegram und speichert den Master-Key im Klartext.

Polizei nimmt Dienst für gefälschte Ausweise vom Netz

Polizei und FBI legten am gestrigen Mittwoch den Online-Dienst für gefälschte Ausweise still, VerifTools hatte Umsätze im Millionenbereich.

Telegram räumt auf: Zwei Mega-Märkte, 3.400 Accounts, 35 Milliarden Dollar weg

Telegram räumt auf – aber zu welchem Preis? Mit einem Schlag wurden zwei Mega-Schwarzmarkt-Netzwerke im Wert von 35 Mrd. USD gesperrt.

Fakeshop-Betrug: 1,4 Millionen Euro ergaunert – Duo landet hinter Gittern

Fakeshop-Betrug brachte zwei Tätern 1,4 Millionen Euro ein. Das LG Hannover verhängte mehrjährige Haftstrafen.

Illegales IPTV: TikTok-Star „Dad the Dish“ entgeht Haftstrafe nach Sky-Streaming-Skandal

Illegales IPTV bringt TikTok-Star „Dad the Dish“ vor Gericht. Der Brite soll mit illegalen Sky-Streams über 150.000 Pfund eingenommen haben.

Piraterie und Malware: Wie FMovies zur Infostealer-Schleuder wurde

Auf einen Film geklickt und dein Passwort ist weg? Piraterie und Malware sind heute enger miteinander verbunden als je zuvor.

© Tarnkappe