Ende Januar 2025 schalteten internationale Strafverfolgungsbehörden im Rahmen der „Operation Talent“ die beiden weltweit größten Cybercrime-Foren Cracked.io und Nulled.to ab. Diese Plattformen, mit insgesamt über zehn Millionen registrierten Nutzern, galten als bedeutende Drehscheiben für Cyberkriminalität und dienten als Marktplätze für gestohlene Daten, Schadsoftware und Hacking-Dienstleistungen.
Der Zugriff auf die Plattformen, ihre Betreiber und Infrastruktur war das Ergebnis monatelanger Ermittlungsarbeit, die von deutschen Behörden in Zusammenarbeit mit Europol und internationalen Partnern geführt wurde.
Struktur und Bedeutung der Plattformen
Cracked.io und Nulled.to waren nicht einfach nur Foren, in denen sich technikaffine Nutzer über IT-Sicherheitslücken austauschten. Vielmehr bildeten sie das Zentrum eines ausgeklügelten Ökosystems, das Cybercrime-as-a-Service anbot. Nutzer konnten dort nicht nur Anleitungen zu Cyberangriffen finden, sondern auch gezielt Dienstleistungen buchen – von DDoS-Angriffen über Phishing-Kampagnen bis hin zum Verkauf kompromittierter Konten. Auch automatisierte Angriffswerkzeuge und KI-gestützte Hacking-Methoden wurden über diese Plattformen angeboten.
Besonders auffällig war die Professionalität, mit der diese Dienste betrieben wurden. Die Foren waren klar strukturiert, Nutzerprofile ermöglichten es, Bewertungen für Anbieter abzugeben, und es gab sogar spezielle VIP-Mitgliedschaften mit erweiterten Funktionen. Die Betreiber verdienten schätzungsweise über eine Million Euro jährlich durch diese illegalen Aktivitäten.
Die internationale Ermittlung und der Zugriff
Der Zugriff auf Cracked.io und Nulled.to erfolgte zwischen dem 28. und 30. Januar 2025 und wurde federführend von der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) und dem Bundeskriminalamt (BKA) durchgeführt, unterstützt von Strafverfolgungsbehörden aus den USA, Australien, Spanien, Griechenland, Rumänien, Italien und Frankreich sowie Europol.
Während des Einsatzes wurden:
- Zwei Verdächtige festgenommen, darunter ein deutscher Staatsbürger.
- Sieben Standorte durchsucht und 67 elektronische Geräte sichergestellt, darunter 17 Server.
- Zahlreiche Domains beschlagnahmt, darunter auch mit den Plattformen verbundene Dienstleistungen wie der Zahlungsabwickler Sellix und der Hosting-Dienst StarkRDP.
- Bargeld und Kryptowährungen im Wert von rund 300.000 Euro konfisziert.
Auf den ehemaligen Webseiten der Foren erscheint nun eine behördliche Warnmeldung, die auf die Beschlagnahmung durch internationale Strafverfolgungsbehörden hinweist.
Ein Blick auf die Nutzer: Wer gerät ins Visier?
Mit der Abschaltung der Plattformen enden die Ermittlungen keineswegs. Die Behörden haben Zugriff auf umfangreiche Datenbanken mit:
- E-Mail-Adressen
- IP-Adressen
- Kommunikationsverläufen
Dies bedeutet, dass eine Vielzahl von Nutzern mit Nachforschungen rechnen muss. Erfahrungsgemäß folgen in solchen Fällen zahlreiche Ermittlungsverfahren gegen aktive Käufer und Verkäufer auf der Plattform. Ein Blick auf frühere Fälle zeigt, dass solche Zugriffe oft zu einem Dominoeffekt führen, bei dem die Strafverfolgungsbehörden nach und nach weitere Akteure identifizieren.
Vergleichbare Fälle wie die Schließung des Darknet-Marktplatzes Hydra Market (2022) oder die Abschaltung des Cyberbunkers (2019) haben gezeigt, dass sich oft über Jahre hinweg Folgeermittlungen anschließen. Insbesondere die Nutzer, die wiederholt Käufe oder Verkäufe über die Plattformen abgewickelt haben, müssen sich auf rechtliche Konsequenzen einstellen.
Ein Wendepunkt oder nur ein Rückschlag für die Szene?
Takedowns dieser Art sind in der Vergangenheit immer wieder erfolgt – doch sie haben selten zu einem nachhaltigen Rückgang der Cyberkriminalität geführt. Die Underground Economy ist äußerst widerstandsfähig und reagiert meist mit schnellen Anpassungen. Innerhalb weniger Wochen oder Monate tauchen oft neue Plattformen auf, die die Lücke füllen.
Jedoch zeigt sich ein zunehmender Trend zur intensiveren Verfolgung von Betreibern und Infrastruktur. Während es in der Vergangenheit oft nur um das Abschalten von Marktplätzen ging, rückt mittlerweile auch das gezielte Identifizieren und Verfolgen einzelner Personen stärker in den Fokus. Auch Finanzströme werden immer intensiver überwacht, um Cyberkriminellen ihre wirtschaftliche Grundlage zu entziehen.
Ob dies das endgültige Aus für solche Marktplätze bedeutet, ist fraglich – doch es ist ein weiterer Hinweis darauf, dass die Strafverfolger ihre Strategie anpassen und immer gezielter gegen die Infrastruktur und Finanzströme der Underground Economy vorgehen.
Ausblick
Mit der Operation Talent wurde eine der größten Plattformen für Cybercrime-Dienstleistungen vom Netz genommen. Die langfristigen Folgen dieser Maßnahme bleiben abzuwarten. Für die Nutzer und Betreiber von Cracked.io und Nulled.to bedeutet der Zugriff jedoch eines: Die Strafverfolgungsbehörden haben nun detaillierte Einblicke in ihre Aktivitäten und werden diese Daten in den kommenden Monaten und Jahren für weitere Ermittlungen nutzen.