La fermeture de la place de marché russe Hydra vient de connaître un effet de bord inattendu. Ses successeurs ont en effet commencé à se pirater les uns les autres afin de conquérir des parts de marché, et d'en récupérer tant les revendeurs de drogues que les clients.
La saisie par les autorités allemandes, à la demande de la justice américaine, l'an passé, de la place de marché russe Hydra, dont le co-fondateur avait de son côté été incarcéré en Russie, est en train de faire imploser l'écosystème du dark web russophone.
Ce vendredi 13 janvier, Solaris, l'une des plus importantes places de marché de vente de drogues russophones, a en effet été piratée par sa rivale Kraken (qui n'a rien à voir avec la plateforme d'échange de crypto-actifs kraken.com, ndlr), sur fonds de guerre de gangs faisant suite à la fermeture du géant Hydra en avril 2022.
- La police saisit Hydra, la plus grosse des plate-formes du « dark web »
- « Dark web » : l'hébergeur d'Hydra trahi par ses factures
La plateforme d'analyse de blockchains criminelles Elliptic estime qu'Hydra aurait facilité plus de 5 milliards de dollars de transactions Bitcoin depuis décembre 2015. Ce qui donne une idée des enjeux financiers poussant les plateformes à tenter de récupérer ses clients et dealers.
Elliptic, qui raconte cette prise de contrôle, estime que Solaris représentait de 20 à 25 % des parts de marché du dark web, et avait traité environ 150 millions de dollars de ventes de drogues et d'autres biens et services illicites depuis sa création.
Crédits : Resecurity
Solaris était affiliée au groupe de cyber-piratage pro-Kremlin Killnet depuis le début de la guerre en Ukraine. Créée aux alentours de mars 2022 et dirigée par un certain « KillMilk », on lui attribue de nombreuses attaques par déni de service (Dos) distribué (DDoS) contre des entreprises et administrations occidentales, ainsi que durant la performance du groupe ukrainien pendant le concours Eurovision 2022, où il s'était attaqué au ministère de la Défense et au Sénat italiens, ainsi qu'à l'automobile club du pays :
« KillMilk n'a pas caché l'affiliation du groupe à Solaris, qui est à l'origine de plus de 44 000 dollars en bitcoins vers les portefeuilles de dons de Killnet. Solaris et Killnet ont tous deux été impliqués dans le piratage du forum Rutor en 2022, longtemps considéré comme un rival politique en raison de sa perception plus pro-ukrainienne. »
Estimation par Elliptic Investigator des dons en bitcoins de Killnet depuis Solaris. Crédits : Elliptic
Elliptic explique que les problèmes de sécurité de Solaris ont commencé en décembre 2022, lorsque le hacker ukrainien Alex Holden a révélé à Forbes qu'il avait trouvé une faille dans Solaris et qu'il en avait profité pour effectuer un virement de 1,6 bitcoins (soit 25 000 $) à Enjoying Life, une organisation humanitaire et caritative ukrainienne.
Holden avait fui l'Ukraine adolescent suite à la catastrophe de Tchernobyl, et trouvé refuge aux États-Unis. Depuis, il y a créé une entreprise de surveillance du dark web, Hold Security. Il avait initialement refusé de détailler la faille qu'il avait identifiée.