Le Darknet russophone profite de la fermeture d’Hydra

Jusqu'à sa fermeture, en avril 2022, le marché noir Hydra dominait l'écosystème russophone du dark web. Depuis, cinq plateformes cherchent à prendre sa place, n'hésitant pas à s'attaquer les unes aux autres, en mode guerre de gangs. Occasion de faire le point sur ce qui les différencie des places de marché noir occidentales.

Le démantèlement d'Hydra, la plus grosse des plateformes du « dark web », il y a tout juste un an par les autorités allemandes, « a créé un changement sismique dans l'écosystème du marché du darknet en langue russe », écrit Flashpoint. 

• La police saisit Hydra, la plus grosse des plate-formes du « dark web »
• « Dark web » : l'hébergeur d'Hydra trahi par ses factures

Flashpoint, société américaine d'analyse de la menace, a enquêté sur les conséquences de cette fermeture, afin de savoir comment ses concurrents s'étaient adaptés, combattus entre eux, voire comment ils avaient innové.

Et ce, d'autant que les États-Unis ont depuis sanctionné plusieurs « crypto mixeurs » utilisés pour blanchir les fonds volés, et qui étaient tous utilisés pour anonymiser les sommes échangées sur Hydra.

• Les voleurs de cryptos ont de plus en plus recours aux mixeurs (anonymiseurs)
• La gendarmerie française et la justice américaine font fermer un crypto-blanchisseur russe
• Le FBI et Europol démantèlent ChipMixer, l'un des principaux blanchisseurs de bitcoins

À son apogée, en 2020, son chiffre d'affaires s'élevait à plus d'un milliard de dollars, faisant d'Hydra « le plus grand marché du darknet et la plus grande place de marché pour les stupéfiants en ligne dans les pays de l'ex-Union soviétique » : 

« Sa taille, sa portée et sa complexité inégalées, son réseau verticalement intégré et son statut de plaque tournante essentielle pour les services illégaux d'encaissement de crypto-monnaies en avaient fait un acteur de poids parmi les places de marché du darknet. »

Nombre de services d'encaissement et de mixage de crypto-monnaies avant et après la saisie d'Hydra - Flashpoint.

Jusqu'à sa fermeture, Hydra surpassait largement les autres places de marché. Or, Flashpoint a depuis observé « une diminution considérable » des échanges et transactions entre portefeuilles de crypto-monnaie liés aux marchés du dark web. Et si de nouveaux marchés ont « rivalisé d'agressivité » pour prendre la place d'Hydra, les sanctions états-uniennes ont jusqu'à présent bloqué leurs velléités de remplacement : 

« En conséquence, les acteurs de la menace ont migré ailleurs, notamment vers des forums tels que "RuTor", des boutiques décentralisées basées sur Telegram utilisant des robots de ventes automatisées, et même vers des transactions hors ligne pour des marchandises physiques telles que les stupéfiants. »

Une guerre des gangs pour récupérer les parts de marché d'Hydra

Près d'un an après le démantèlement d'Hydra, cinq places de marchés – Mega, Blacksprut, Solaris, Kraken et OMG!OMG! Market – seraient devenus, d'après Flashpoint, les principaux acteurs du dark web russophone en termes de volume d'offres et de nombre de vendeurs.

Mega, le plus grand, aurait recueilli l'équivalent de près de 40 millions de dollars en mars 2023, suivi de Blacksprut avec environ 20 millions de dollars, puis de Kraken, qui n'aurait de son côté reçu que 10 millions de dollars. Au cours de la même période, Flashpoint a observé 5 755 inscriptions sur OMG!OMG!, 5 030 sur Méga, 4 849 sur Solaris, 4 313 sur Blacksprut et 2 095 sur Kraken. 

Comme nous l'avions déjà raconté, ces plateformes se livrent en parallèle à une véritable guerre des gangs pour récupérer les parts de marché d'Hydra, à coups de propagations de rumeurs, doxings d'administrateurs et de membres du personnel, attaques par déni de service distribué et fuites de données piratées pou discréditer leurs concurrents.

• La cyber-guéguerre des places de marché du dark web russe

Les groupes de pirates spécialisés dans les attaques DDoS KillNet et Deanon Club se sont ainsi alliés pour cibler Blacksprut en novembre 2022, puis Mega en mars 2023, semble-t-il pour promouvoir les intérêts de Solaris, dont ils seraient des affiliés.

En octobre 2022, une adresse de crypto-monnaie associée à Solaris Market avait en outre transféré l'équivalent de 50 000 dollars environ à Killnet en paiement d'une attaque DDoS effectuée à l'encontre de RuTor, le forum qui fournit une assistance à son concurrent OMG!OMG!.

Des boîtes aux lettres mortes alimentées par des coursiers überisés

Flashpoint relève par ailleurs que les services de retrait et d'encaissement de cryptomonnaies se sont réimplantatés sur de nouvelles plateformes, souvent sous de nouveaux noms, offrant pratiquement le même type de services que leurs prédécesseurs sur Hydra.

De nombreux services proposeraient de convertir les bitcoins (la cryptomonnaie la plus utilisée sur les darknets russophones), non seulement en monnaie fiduciaire ou en Monero (une crypto-monnaie axée sur la confidentialité), mais également en USDT, ou Tether, « ce qui reflète peut-être les inquiétudes concernant la volatilité du taux de change de Bitcoin », estime Flashpoint.

Contrairement aux places de marché occidentales, qui ont recours aux livraisons postales, les marchés noirs russophones privilégient le système de « klad ». Inspiré des boîtes aux lettres mortes (dead drop en anglais) historiquement utilisées par les espions pour pouvoir échanger des messages sans avoir à se rencontrer physiquement, ces « caches au trésor » sont alimentées par des coursiers überisés qui y cachent les stupéfiants à des endroits convenus à l'avance pour que les acheteurs puissent venir les récupérer en suivant un plan géolocalisé reçu en réponse à leurs achats. 

Les commissions prélevées sur chaque transaction peuvent monter jusqu'à 15 %, en fonction du niveau de « propreté » (ou, plutôt, de blanchiment) de la crypto-monnaie ou de la monnaie fiduciaire issue de l'opération, et « mesurée par le pourcentage d'argent d'origine suspecte susceptible de déclencher un examen par l'agence de surveillance financière russe ».

Dark Swap, partenaire du groupe hacktiviste Killnet, prélève ainsi une commission de 11 % pour le mixage des cryptoactifs, et 8 % pour le blanchiment des cryptomonnaies, ce qui suffirait à se protéger des contrôles anti-blanchiment.

Plusieurs services disposeraient même de bureaux physiques, non seulement en Russie, mais également en Turquie, aux Émirats arabes unis et même en Europe occidentale, avec des bureaux ouverts suite à l'exode des citoyens russes fuyant la conscription et des conséquences de la guerre de la Russie contre l'Ukraine en 2022. 

Les principaux marchés noirs sont tous russophones

En décembre dernier, la société TRM Labs, spécialiste de l'analyse des blockchains, soulignait de son côté que si Hydra avait accumulé 400 millions de dollars de revenus entre janvier et son démantèlement en avril 2022, la douzaine de marchés noirs russophones qui lui ont succédé en avaient pour leur part perçus 24 % de plus dans les cinq mois qui ont suivi.

TRM Labs dénombrait, en novembre dernier, « au moins 70 places de marché actives » sur le dark web. Sur les cinq principales, seule ASAP Market ciblait le monde occidental, en anglais, les quatre autres étant les successeurs d'Hydra, ciblant l'écosystème post-soviétique.

TRM identifiait quatre différences principales entre les marchés noirs russophones et les autres : 

1. le mode de distribution, les marchés noirs russes fonctionnant en circuits courts, du fait du recours au système de klad/клад (« trésor » en russe), alors que les places de marchés occidentales livrent à l'international ;
2. les acteurs opérant dans les anciens pays soviétiques seraient moins méticuleux en matière de sécurité opérationnelle (OPSEC), du fait de l'impunité dont ils bénéficient de la part des autorités russes, comparées aux efforts des polices occidentales pour identifier et arrêter les dealers du dark web ;
3. du fait même de ce sentiment d'impunité, la plupart des places de marchés russophones n'acceptent que le bitcoin, quand leurs pairs occidentaux privilégient les cryptoactifs plus difficiles à tracer, à l'instar de Monero ;
4. les Russes chercheraient à établir des monopoles, à l'instar de ce qu'était Hydra, ce que la plupart des occidentaux évitent de faire pour éviter de s'attirer les foudres et l'attention des polices occidentales.