Aktuelle Trends im türkischsprachigen Dark Web

Anmerkung der Redaktion: Dies ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse mit Endnoten zu lesen, klicken Sie hier , um den Bericht als PDF herunterzuladen.

Wir haben Anzeigen, Beiträge und Interaktionen in türkischsprachigen Hacker- und Cybercrime-Foren analysiert, um die Fähigkeiten, die Kultur und die Organisation dieser Communities zu erkunden. Dieser Bericht ist eine Fortsetzung unserer vorherigen Berichterstattung über den Zustand des türkischsprachigen Dark Web als Teil einer Serie, in der wir cyberkriminelle Communities in Brasilien, Russland, China, Japan und dem Iran analysieren. Das größte Interesse dürfte an diesem Bericht vor allem jenen Organisationen und geopolitischen Analysten bestehen, die den cyberkriminellen Untergrund verstehen möchten, um sicherheitsrelevante Bedrohungen besser überwachen zu können, sowie jenen, die den türkischsprachigen Untergrund erforschen.

Executive Summary

Die zunehmend instabile Finanzlage der Türkei mit Rekordinflationsraten und einem rapiden Wertverlust der türkischen Lira bietet jungen, benachteiligten Menschen die Möglichkeit, sich Untergrundgemeinschaften anzuschließen und sich stärker an cyberkriminellen Aktivitäten zu beteiligen. Wir haben herausgefunden, dass patriotische Hackerkollektive in der Türkei ihre Defacement-Operationen fortsetzen und mindestens eine Bedrohungsgruppe an noch ausgefeilteren Hackeraktivitäten arbeitet. Türkischsprachige Cyberkriminelle sind in englisch- und russischsprachigen Foren aktiv, wo sie kompromittierte Daten türkischer Unternehmen teilen und verkaufen. Bei unseren Untersuchungen haben wir mindestens drei türkischsprachige Ransomware-Gruppen identifiziert und eine YARA-Regel zur Erkennung von TurkStatik Ransomware entwickelt.

Angesichts der zunehmenden Verbreitung von Ransomware-as-a-Service-Modellen (RaaS) und der daraus resultierenden Senkung der Eintrittsbarrieren in den Ransomware-Bereich erwarten wir einen Anstieg der Anzahl türkischsprachiger Ransomware-Gruppen. Da sie einen Eckpfeiler der türkischen Untergrund-Community darstellen, erwarten wir, dass patriotische Hackerkollektive ihre Aktivitäten fortsetzen.

Wichtige Urteile

• Türkische patriotische Hacker setzen ihre Entstellungsoperationen fort und zielen dabei auf Länder ab, die sie als „Feinde“ der Türkei betrachten. In einigen Fällen zielen sie darauf ab, die Komplexität ihrer Aktivitäten zu steigern, darunter die Weitergabe vertraulicher Daten und der Aufbau eines Hacktivisten-Botnetzes.
• Turkish-language, financially motivated threat actors advertise their services, methods, and stolen data on popular global forums to avoid Turkish law enforcement attention and appeal to a larger audience. We identified at least 3 Turkish-language ransomware variants being used by threat groups including TurkStatik, SifreCikis, and DeadLocker. At the time of this report, we do not know the number of victims in Turkey affected by these ransomware variants as the operators of said ransomware do not operate extortion websites.

Hintergrund

Wie bereits in unserem vorherigen Bericht dargelegt, konzentrieren sich türkischsprachige Darknet-Communitys vor allem auf zwei Funktionsbereiche: patriotisches Hacken (Hacktivismus) und finanziell motivierte Internetkriminalität. Patriotische Hacker-Communitys reagieren häufig auf geopolitische Ereignisse in aller Welt, insbesondere in Bezug auf die Türkei, und zeigen ihre Unterstützung für die Agenda der Regierung, indem sie Länder ins Visier nehmen, die als „Feinde“ der Türkei gelten. Finanziell motivierte Communities konzentrieren sich auf eine Reihe von betrugsbezogenen Aktivitäten wie Zahlungskartenbetrug, Datenschutzverletzungen und Social Engineering. Aufgrund des Drucks der Strafverfolgungsbehörden hosten türkischsprachige Foren keine Inhalte, Daten oder Methoden, die sich gegen türkische Organisationen richten. Ein Großteil der kompromittierten Daten und Angriffsmethoden gegen türkische Organisationen findet sich in englisch- oder russischsprachigen Foren wie BreachForums, XSS und Exploit.

Die zunehmende politische und finanzielle Instabilität in der Türkei dürfte zur Popularität von Darknet-Foren und finanziell motivierter Internetkriminalität beitragen. Forscher haben am Beispiel einer Fallstudie aus Nigeria argumentiert , dass zwischen finanzieller Instabilität (vor allem Jugendarbeitslosigkeit) und der Internetkriminalität ein Zusammenhang besteht. Am 3. Oktober 2022 zeigten Daten des türkischen Statistikinstituts (TUIK), dass die Inflationsrate mit 83,45 % einen 24-Jahres-Höchststand erreichte, während unabhängige Experten der Inflation Research Group (einer privaten Forschungsgruppe in der Türkei) die jährliche Rate mit etwa 186,27 % deutlich höher einschätzen . Trotz hoher Inflationsraten verfolgt die Zentralbank der Republik Türkei einen unorthodoxen Ansatz im Rahmen eines Lockerungszyklus, indem sie die Zinssätze senkt. Infolgedessen verlor die türkische Lira im Jahr 2021 gegenüber dem Dollar 44 % ihres Wertes und erreichte im September 2022 mit einer weiteren Senkung des Zinssatzes um 100 Punkte einen historischen Tiefstand. Die steigenden Lebenshaltungskosten und die instabile Finanzlage führen dazu, dass die Jugend der Türkei weiter verarmt.