La Russia sembra essere il paradiso del cyber crimine organizzato, l’operazione di Germania e USA però, ha bloccato un colosso del settore illegalità e droga online. Navighiamo i dettagli dell’operazione Hydra Market.
Nella giornata di martedì 5 aprile è stato smantellato Hydra Market il più grande shop online illegale di droga, finora conosciuto. L’operazione ha visto anche il sequestro di somme ingenti di denaro in Bitcoin, ho raccolto dunque il materiale per esporlo qui e dare al lettore la possibilità di consultazione in prima persona. Facciamo un giro nei wallet milionari e una mini ricerca OSINT per capire cosa succederà ora. E’ sufficiente dismettere il pesce grande per eliminare il fenomeno?
L’operazione del sequestro Hydra Market
Un comunicato stampa del 5 aprile 2022 della tedesca BKA, l’ufficio federale di polizia criminale rende nota, insieme all’ufficio del pubblico ministero di Francoforte sul Meno – Ufficio centrale per la lotta alla criminalità informatica (ZIT), l’operazione di “messa in sicurezza infrastruttura server in Germania del più grande mercato illegale Darket Hydra Market“, si legge.
Attivo dal 2015 Hydra aveva all’attivo 17 milioni di utenti registrati, 19.000 dei quali erano identificati come venditori.
All’operazione viene attribuito un wallet bitcoin con dentro l’equivalente in criptovaluta di 23 milioni di euro, riconducibile a Hydra, che andremo ad analizzare.
Si legge inoltre la partecipazione anche di agenzie statunitensi per le lunghe indagini approfondite che hanno portato a questo risultato.
Un ultimo sguardo a Hydra Market
Ho finora nominato Hydra come una piattaforma darkweb. Con questo, lo specifico, intendo dire che il sito e tutte le sue attività erano svolte raggiungendo la home page sotto rete Tor, tramite l’apposito indirizzo onion.
Questo l’aspetto della home page del famoso darkweb shop online Hydra, prima del sequestro. Come detto nasce nel 2015 come fornitore alla vendita di servizi di hacking, ransomware, soldi falsi, droga, documenti d’identità falsi e rubati, il tutto comodamente ospitato e riconducibile a spazi e uffici della Federation Tower a Mosca, in Russia (benchè i server invece sembra siano stati rinvenuti in Germania). E’ interessante notare come la Russia sia molto accondiscendente con questo genere di attività, senza particolare riguardo all’antiriciclaggio e agli obblighi in materia di contrasto al finanziamento del terrorismo.
C’è da dire tuttavia che la fiorente attività di questo market è stata raggiunta negli anni a cavallo del 2017, data oltre la quale, non che inizi la discesa, ma quanto meno inizia la specializzazione settoriale dello store a un mercato rivolto principalmente (quasi unicamente nell’ultimo periodo) al commercio della droga.
Il ruolo delle indagini statunitensi
Come dettagliato nel comunicato stampa dell’OFAC che accompagna l’annuncio della sanzione di martedì, apprendo che gli Stati Uniti entrano nell’operazione per la parte più specifica riferita ai sequestri della criptovaluta e ai collegamenti con altre cyber gang note.
Il Dipartimento del Tesoro statunitense ha identificato “circa 8 milioni di dollari di proventi da ransomware transitati dai conti in valuta virtuale di Hydra, comprese le varianti di ransomware Ryuk, Sodinokibi e Conti“.
Prima dell’operazione di sequestro odierna, le entrate di Hydra erano aumentate notevolmente da meno di 10 milioni di dollari nel 2016 a oltre 1,3 miliardi di dollari nel 2020. Questa crescita dei profitti è consentita dall’associazione di Hydra con la finanza illecita russa, che ovviamente ha permesso e permette (con altre realtà) tuttoggi, questa condotta.
Da altre fonti sono riuscito a rintracciare l’indirizzo Bitcoin che si mensiona nell’ordine esecutivo tedesco, con all’interno oltre 544 BTC, che al cambio odierno corrispondono alla bellezza di 22.862.525,22 €.
1EHBzucTdcpESQhR9TqDPoucJFRAVruChx questo l’indirizzo del wallet che contiene una buona parte dei proventi che, come notiamo dalle 90 transazioni presenti all’interno alle 23.00 del 5 aprile è tutt’ora in movimento e l’ultimo pagamento ricevuto appare dopo le 17 di questo pomeriggio.
Un tabulato utile a tenere evidenza di indirizzi onion e indirizzi di altri wallet di criptovaluta riconducibili all’operazione criminale Hydra:
HYDRA MARKET (a.k.a. HYDRA MARKETPLACE; a.k.a. "HYDRA"), Russia; Commonwealth of Independent States; Website http://hydram6esdjf6otepmr5c3vjyndsoddz22afphbbjznwb5ln2c6op7ad.onion/; alt. Website http://hydraclubbioknikokex7njhwuahc2l67lfiz7z36md2jvopda7nchid.onion/; Digital Currency Address - XBT 3K4rjdh8A5yi6LWvft2rbmyZvqEbPSSSX4; alt. Digital Currency Address - XBT 17mhyeBX617ABZ1ffThhUTJkHUcMvCkfd5; alt. Digital Currency Address - XBT 35qwVtMEohWDdBWRiCSR7azoP5cbY8SG1Q; alt. Digital Currency Address - XBT 35KAdTa2vqnJzitF2xiUzZn1Gmcas2Y465; alt. Digital Currency Address - XBT 35LScRJ8hzDvvWh9t9UA8bHGnGNVz3YEfa; alt. Digital Currency Address - XBT 1PJp8diNa89cVHpiT1VPu7EQ8LxYM5HX6v; alt. Digital Currency Address - XBT 17V7THwHMiDJmDwZK4unhE5HgKFJKx7VCe; alt. Digital Currency Address - XBT 3PiCnZrBvGfWAKQ9hr4cCpfaDjy64yNSpE; alt. Digital Currency Address - XBT 14gM1HuLVDELNHaFU22qpabjtiWek4HhV1; alt. Digital Currency Address - XBT 1GYuu9d5HPikafbys3k5Q3DRJq6debGsoB; alt. Digital Currency Address - XBT 3GXdtA6kbb4M5aqzZm5qqxcFDFRMW8LqdJ; alt. Digital Currency Address - XBT 1B11Ezqg3AXjFhMdRq5UpPDpNyriYNVtkn; alt. Digital Currency Address - XBT 16SPDQFFzgsoNSPiFFTfS8Dw8LLXqia4oc; alt. Digital Currency Address - XBT 19pPbUDvoSBZafkUCYkD2Z9AkuqqV6sWm7; alt. Digital Currency Address - XBT 3BQACtiMXYB9JpUMpkEWt9m8BzswpGHq4X; alt. Digital Currency Address - XBT 1DGsY4ww3BJnWXTsnmTgWa6UWdoRXgA1pX; alt. Digital Currency Address - XBT 1GcKLUUXodTQcLcPD7VLMgvCc4hs5Q775; alt. Digital Currency Address - XBT 1EvhBad5wCZYhBoAsGaciV6AvmZ1osLpeJ; alt. Digital Currency Address - XBT bc1qsmv6lkrw65l30yazdqpdjjtwzpvk9f8gfh0cy7; alt. Digital Currency Address - XBT bc1qs9u6j78e3utj08mwvqkkmqm9de5xk3g4yh8qtq; alt. Digital Currency Address - XBT 12VrYZgS1nmf9KHHped24xBb1aLLRpV2cT; alt. Digital Currency Address - XBT bc1q202ajnhxgg9d9jjczmg0g4usp6haqldyy2eakl; alt. Digital Currency Address - XBT 1NbGwQwt4uEhg2srAKppLf8QaF6fbp3PZG; alt. Digital Currency Address - XBT 13LQJQ1oJ9K7PsqsGfjNhoVv6UeU6hgzQz; alt. Digital Currency Address - XBT 1CG1aSCxUnbmv9G34ofxTQoHtuVnMLJtQV; alt. Digital Currency Address - XBT 3Kp8Qc5z7yevDeoQxhS5RSSKnEi5x7AQ43; alt. Digital Currency Address - XBT 331TS6DyASY7iU5CRA8UryBnkPS78fP2B1; alt. Digital Currency Address - XBT 1NvJm3jfZxENNyqws5BKQvhkLxg9chLJdo; alt. Digital Currency Address - XBT 1Licqjca74n8pmNaoARXLLqcTUTHFpxbXH; alt. Digital Currency Address - XBT 175BUqf8JCU1uoG1iTRKTacDa4uvJDUCw2; alt. Digital Currency Address - XBT 1ANpca7g93BwptUJg1zV116v49zn9gjDi3; alt. Digital Currency Address - XBT 1BCWMwpR4M1nYUuuYe2bmzrNuwGoF9ZAbA; alt. Digital Currency Address - XBT 18cFGAdYcvNHkuhXLBE7izQKCyUW8TzCJE; alt. Digital Currency Address - XBT 1QHxyuLGRMHfbNPJikV4Dwhfx45HWfUMWB; alt. Digital Currency Address - XBT 1GnFTy5F9qi5MfaRZfgdg2jkyT5xtAHvd8; alt. Digital Currency Address - XBT bc1quyc6j8ca84q9gjej5jjd2n8hra0vfu0j60fefs57p6e5rerkq07q0l5u3w; alt. Digital Currency Address - XBT 16p2UWTZwXRyK5bTHNVjdDyy1D3EQGsZf2; alt. Digital Currency Address - XBT 1CddRqw7oSPrT4tt5oXKyx2LiHJDPszy7y; alt. Digital Currency Address - XBT 1Hhe61Bwxs8Hd2WxzWY9FQyZicBiZGeSNW; alt. Digital Currency Address - XBT 1D3GuaS9eqKw8dWj9JFQtNufdRtysjSLxZ; alt. Digital Currency Address - XBT 1PWRKxkR5AU7Tc9zPqjdhtu1eGW1QZzs4y; alt. Digital Currency Address - XBT 1D1ej7zQzywWBDNXKNYpmH7Hso2U9koDG4; alt. Digital Currency Address - XBT 3KGQ3hX6eFYtBjTBFSdvdkzHmwZyYWLRQh; alt. Digital Currency Address - XBT 1LKE3XA9bf5JFqtGtCHzWj5QGxKGwMfXZw; alt. Digital Currency Address - XBT 1MtsQsw6n2jvJCWhpCw7jifTfD9Q3rBBVg; alt. Digital Currency Address - XBT 1KkaKujnqwJf7Cbm7JKAZGF3X9d4685m8n; alt. Digital Currency Address - XBT 1Ge8JodC2HiBiEuT7D3MoH6Fak6XrcT9Kf; alt. Digital Currency Address - XBT bc1qsmqpalp3gtgkltag4x3ygevmhh9y2hzk73t2ug; alt. Digital Currency Address - XBT 1E9uUnLbyfToazo95vmM3ysYnzgkrL7GeC; alt. Digital Currency Address - XBT 1HH8eiuaTMucTNyvGCUmAvmCZCtdMi8SqK; alt. Digital Currency Address - XBT 19FQzHibWDhSP8pKmJS3uagFYoisXtehzw; alt. Digital Currency Address - XBT 3DLGfN7hgsWXXSp9euXcnmWXLpFQuswW2t; alt. Digital Currency Address - XBT 1PXxwPVtYxZiCRp9LKq7aKMDFrhAQztvUE; alt. Digital Currency Address - XBT 1Q4tJjH2aBr3AJrzxqa4Z3jPpf5SDgF4jK; alt. Digital Currency Address - XBT 1PYtgFS2t6i57WdDvbRa7kPcsagGMBxzfg; alt. Digital Currency Address - XBT 16ZSAEfYpPCj3D94fsNt2okYj9Ue8mxy6T; alt. Digital Currency Address - XBT bc1qvlzfn6kmezv44d8kw0p5jsmxe6wchv3zc7gsxs; alt. Digital Currency Address - XBT 3QVyoH4u3qT88uChAeJVhfB3r6maZt431y; alt. Digital Currency Address - XBT 1FFS6pX1TCKTNy668Mbk2Lyoem1qB48kYX; alt. Digital Currency Address - XBT 1Dpddb1TMjvmNQeYDqgyd1ww6cmwPJRdSk; alt. Digital Currency Address - XBT 3AjiWiUdKB5mcGUSS9mBeoHCeYJw3Zo8r6; alt. Digital Currency Address - XBT 1EtMuBPQnPCa3cecerdSH1SzydxnhbTmw; alt. Digital Currency Address - XBT 3CCmt5LjQ5yKkaFY1DWC2SbERVEtWRnSRD; alt. Digital Currency Address - XBT 1MQBDeRWsiJBf7K1VGjJ7PWEL6GJXMfmLg; alt. Digital Currency Address - XBT 1MbtT2ZsTtLp7EKZUV9r74cTyqvsMtTP2M; alt. Digital Currency Address - XBT 36yS87PLuW7sErLg1TY26WzaVarTim7AcC; alt. Digital Currency Address - XBT 3AYU365Tcjef7j9pdKF9Xe8rWpEpsH196t; alt. Digital Currency Address - XBT 148LKmyZT3FGE4x1GjsFN6RsAwcjzk5iuE; alt. Digital Currency Address - XBT 16EKTes8ahD8xvwisqjc2xSNLiG3fDHatW; alt. Digital Currency Address - XBT 3GuQjr7kkrR5EjpanMgyAuxuLgrjEUwe21; alt. Digital Currency Address - XBT 35eanEz5iYg2eYaxCtMrR4SCoypFqrBWUH; alt. Digital Currency Address - XBT 3QWUdP5taP4GrRuueVDud1eWetb7hc3wDH; alt. Digital Currency Address - XBT 3Czhm6xqn8odwz6jgTcjRrUjog28v6aVS8; alt. Digital Currency Address - XBT 1F7UL41qYm6TvnExZzPHBCyeENvX3XDEMS; alt. Digital Currency Address - XBT 123WBUDmSJv4GctdVEz6Qq6z8nXSKrJ4KX; alt. Digital Currency Address - XBT 3BCN3WgMRJwULTz1vsEQ7NZrBjwaUBf5Ca; alt. Digital Currency Address - XBT 35SwVFxosV3AsvnrBfzdXarqavRbvDyyxv; alt. Digital Currency Address - XBT 32pCmCWEjwhkLwh5BgLNAeBQFp5Gi1hv81; alt. Digital Currency Address - XBT 1G64TFMFVJTjhJXra6x74BBhsfSyiWaFtT; alt. Digital Currency Address - XBT 1A3iYY4c3dkgNYGewzYzr7EsqfBuWXibGo; alt. Digital Currency Address - XBT 3GAUBtrTtWp1D9yeXgr3wMg8B599QHa5m5; alt. Digital Currency Address - XBT 3HJN4jRa4mdfkey9JR9jUhr86yPwL86A3C; alt. Digital Currency Address - XBT 1EuUMPBCZtSd5pVVFEqmRqUSfU1qy6ASuL; alt. Digital Currency Address - XBT 1Pu1nAW7kCoSMThMs8QcpM8JxuByQDZgH; alt. Digital Currency Address - XBT 3QnWE5GVfQu3wVav91RuFkqip4Ti4NWqAY; alt. Digital Currency Address - XBT 1CNbhgxGRZvsWnEHotfXge7k2E1UPzBDC7; alt. Digital Currency Address - XBT 3HSZc4BLnQBznjSq7JvXgqNCZUUs3M9fZz; alt. Digital Currency Address - XBT 37dDBCexFPraKW4jGSqkE3NyG52YeZQbJx; alt. Digital Currency Address - XBT 1H8sDTTgJPBKw83EBZDLhXvetCbxZUMMZM; alt. Digital Currency Address - XBT 1BvJRBRp9ZZ6zLyuZaZsV7g3xP6JokdZQW; alt. Digital Currency Address - XBT bc1q237mvl0heyw0r38wd3xz8h5mar96rrwpams8pp; alt. Digital Currency Address - XBT 34dxZvijpBM1YkPybczbQ7DuGuKAnULdfS; alt. Digital Currency Address - XBT 1GkLN7DbA9mAtHNzQWNPANcdWbefaz4Gzm; alt. Digital Currency Address - XBT 13hfsQm6oCaDZehfYBSMFiJVAi1jsL6sQd; alt. Digital Currency Address - XBT 1Sf6e4xQv8muMZqYPTdRFf3e5o5eWcg9F; alt. Digital Currency Address - XBT bc1qj6j6p0jdefl6pvdzx3kx8245yy5mz6q4luhzes; alt. Digital Currency Address - XBT 1B3u21itzjgKtm7QsNQNCBpSkwzzeDHqrW; alt. Digital Currency Address - XBT 3JhPsVV3KnL9dBYGSZALS9EbrLr97R865a; alt. Digital Currency Address - XBT bc1qqf8kcc9m57xjqcvsvuf989nnl48ve6d2s24cx3; alt. Digital Currency Address - XBT 1HuYfoEwsfHgZiRhbhJrCd5ST3iksa8KEx; alt. Digital Currency Address - XBT 1J9wJH2bamZVxscXAvoDH4jvtGKb7sYFDm; alt. Digital Currency Address - XBT 34WWXwFKAsXL9zYxbeNPaPV6vDamkjQLUo; alt. Digital Currency Address - XBT 3PDmRwotTkRAFRLGTUrucCERp2JdM1q4ar; alt. Digital Currency Address - XBT 3AFcE2mbSSndcpYFgHoExSmjUc26ef2gQh; alt. Digital Currency Address - XBT 3P6PzdfETr4275Gn3veLkCyDxA1jV8fHKm; alt. Digital Currency Address - XBT 3HRExd8GKFskZC5inmVcpiyy9UWG7FVa6o; alt. Digital Currency Address - XBT 3MP7yBGSW2gkXVRE8S84T2j4KVgPh3rEzv; alt. Digital Currency Address - XBT 1K2fmE9hfhbRNSZoBvCBWZAvsS5idTUxBG; alt. Digital Currency Address - XBT 3ES6pqCueDPCnC4hCqhhYuey6gyiRJZw6E; alt. Digital Currency Address - XBT 3KvBX3jo69Qn8jHy44M33RYoeYcf8DdRBD; alt. Digital Currency Address - XBT 3K26aMKmnrv97Pj6YiFcqiXk2LxeHfhnG3; alt. Digital Currency Address - XBT 3BWP6ZQAhc4j5wR1b95zJAthJEFvhdees7; alt. Digital Currency Address - XBT 3JuSgFrwnrNfuhvR4GpWAPmeJVot4xrEae; alt. Digital Currency Address - XBT 1DKGRGJXGNLAtTeFb9SNPNHtrkZ87q7qKi; alt. Digital Currency Address - XBT 361AkMKNNWYwZRsCE8pPNmoh5aQf4V7g4p; alt. Digital Currency Address - XBT 33fWcMdmsB2Ey4CEbVWbjGFkuevBSyP9nG; alt. Digital Currency Address - XBT 35aTjkBh4yeTypJsi9nuTdoMKHTsawKVgX; Organization Established Date 2015 [CYBER2].
Hydra e i servizi di cryptocurrency, Blender
Oltre il grosso partner commerciale in ambito valuta virtuale, Garantex, anchesso oggetto di sanzioni e sequestro nella medesima operazione, Hydra offriva anche altri wallet exchange tra i quali Blender.io. Da una piccola ricerca effettuata personalmente sembra che anche questo servizio sia stato messo offline, presumibilmente soffrendo dei sequestri DNS principali.
Mentre invece sembra non avere problemi la versione darknet dell’omonimo servizio, ancora operativa all’indirizzo originale: http://blenderu4hwf34oq7najtatyfdw2rzwz5tjse7rp4auuzqnm5xutlnqd[.]onion
Cosa succede ora nel mondo del commercio illecito
Passiamo ora all’ultima fase che ho esaminato della vicenda: cosa succede ora che il punto di riferimento principale è fuori dai giochi, nel significato pratico del termine? Da quello che ho potuto vedere, già dall’inizio di questa operazione, mentre il sito Hydra era ancora accessibile, sono affiorati messaggi di annuncio dallo staff come questi, atti a mitigare la tensione, come da ogni buona azione di marketing reputazionale:
“Ultime informazioni dagli operatori Hydra: Stiamo recuperando i server e il sito. Tutti i fondi degli utenti verranno restituiti. Vogliamo fermare gli attacchi”, si legge.
Questo mi fa pensare che il destino di questo sobborgo di illegalità made in Russia non sia per nulla terminato con questa, seppur massiccia, operazione sanzionatoria.
Infatti poco dopo intercetto anche diverse discussioni sul forum RuTor, nelle quali un discreto numero di utenti scambia pareri e consigli su come migrare e sopratutto su dove migrare ora che Hydra è obbligatoriamente down.
A questo proposito, qualora sia utile a controllare, questo è l’indirizzo onion (rete Tor) per RuTor: http://rutorbestyszzvgnbky4t3s5i5h5xp7kj3wrrgmgmfkgvnuk7tnen2yd[.]onion.
Infine salta fuori il nuovo candidato alla successione: OMG!
Si chiama OMG! E sembra essere questa la piattaforma definitiva scelta dall’ondata di utenti interessati a scambiare materiale illegale, di fatto la registrazione e l’inaugurazione sarebbe proprio della giornata del 5 aprile, proprio appena dopo la chiusura di Hydra ed indirizza i propri servizi alla Russia e altri paesi worldwide.
L’indirizzo onion di questo nuovo marketplace è il seguente: http://omgomgomg5j4yrr4mjdv3h5c5xfvxtqqs2in7smi65mjps7wvkmqmtqd[.]onion
Come ribadiscono gli esperti di investigazione forense che hanno seguito da vicino questa vicenda, è chiaro come nella vita reale: quando si arresta un grande boss dello spaccio (immaginate grandi visi storicamente noti del settore), quet’ultimo non si arresta. Si disloca, si divide ramificandosi in piccoli satelliti minori, ma continua il suo percorso nell’illegalità con altri volti, altri guadagni e altre piazze.
Se fino a ieri avevamo un unico mercato centralizzato e gestito da una super organizzazione, adesso bisogna aspettarsi che nascano tanti piccoli mercati ognuno con la sua quota di pertinenza. Proprio come il caso di OMG!