Russisches Cybercrime-Forum in koordinierter US-Behördenaktion abgeschaltet
US-Strafverfolgungsbehörden haben RAMP, ein bekanntes Cybercrime-Forum mit Verbindungen zu Ransomware und Hacking-Dienstleistungen, beschlagnahmt. Die Plattform war seit 2021 aktiv und richtete sich an russisch-, chinesisch- und englischsprachige Nutzer:innen.
RAMP, kurz für Russian Anonymous MarketPlace, entstand Mitte 2021, nachdem mehrere russischsprachige Hackerforen nach dem Angriff auf die Colonial Pipeline Ransomware-Inhalte verbannt hatten.
Schnell schloss sich mit RAMP die entstandene Lücke: Das Forum entwickelte sich zu einem zentralen Marktplatz, auf dem Ransomware-Gruppen nach Partner:innen suchten, Initial Access Broker kompromittierte Netzwerkdaten verkauften und Cyberkriminelle gestohlene Daten und Tools tauschten. Zu den aktiven Gruppen gehörten ALPHV/BlackCat, Qilin, DragonForce und RansomHub, die das Forum zur Bewerbung ihrer Aktivitäten nutzten.
RAMPs Größe zieht Bundesbehörden an
Obwohl RAMP einen „Nachweis früherer krimineller Aktivitäten“ oder eine Eintrittsgebühr von 500 US-Dollar (ca. 424 Euro) verlangte, wuchs die Nutzerzahl auf über 14.000 an. Behörden schätzen, dass das Forum jährlich etwa 250.000 US-Dollar (ca. 211.900 Euro) durch Werbung, Treuhanddienste und illegale Geschäfte generierte.
Bundesbehörden leiteten die Abschaltung. Das FBI koordinierte gemeinsam mit Staatsanwaltschaften des Justizministeriums und Cybercrime-Einheiten. Sowohl das Darknet-Forum als auch die clearnet-Domain ramp4u[.]io wurden beschlagnahmt. Technische Daten zeigen, dass die Nameserver der Domain nun auf ns1.fbi.seized.gov und ns2.fbi.seized.gov verweisen – ein eindeutiger Hinweis auf die vollständige Kontrolle durch die Ermittler:innen.
Auf der beschlagnahmten Seite prangt nun ein Banner des FBI, das das US-Staatsanwaltsbüro für den Southern District of Florida sowie die Computer Crime and Intellectual Property Section des Justizministeriums nennt. Die Seite zeigt zudem RAMPs Slogan „The Only Place Where Ransomware Allowed“ und ein Cartoon-Bild aus „Mascha und der Bär“.
Beschlagnahmte Daten erhöhen Risiko für RAMP-Nutzer:innen
Ermittler:innen haben offenbar umfangreiche Forendaten erlangt – darunter IP-Adressen, E-Mail-Konten, Nutzernamen, Transaktionsprotokolle und private Nachrichten. Solche Informationen könnten dabei helfen, Betreiber:innen, Händler:innen und Käufer:innen zu identifizieren. Das FBI ruft die Öffentlichkeit auf, Hinweise über das Internet Crime Complaint Center einzureichen.
Nach der Beschlagnahmung bestätigte ein mutmaßlicher Betreiber namens „Stallman“ das Aus des Forums in einem anderen Board und räumte die damit verbundenen Risiken ein. Auch wenn Ransomware-Aktivitäten an anderen Stellen weitergehen dürften, stört die Abschaltung die Infrastruktur, erhöht die Betriebskosten und steigert das Risiko für alle Beteiligten.