Ermittler setzen 100 Server und 1300 Domains ausser Betrieb
Internationale Ermittler haben mehrere der derzeit einflussreichsten Schadsoftware-Familien, darunter Trickbot, im Rahmen der "Operation Endgame" vom Netz genommen. Die Schweiz leistete Rechtshilfe.
Deutsche Ermittler sprechen vom bislang grössten Schlag gegen Cyberkriminelle: Bei einem Einsatz in mehreren Ländern seien weltweit mehr als 100 Server beschlagnahmt und 1300 Domains ausser Betrieb gesetzt worden. Das teilten die Generalstaatsanwaltschaft Frankfurt am Main und das deutsche Bundeskriminalamt (BKA) am Donnerstagmorgen mit.
Mehrere der derzeit einflussreichsten Schadsoftware-Familien seien vom Netz genommen worden. Es handelt sich dabei um spezielle Software, mit der in krimineller Absicht Zugriff auf fremde Computer erlangt werden kann. Dies wird als "Initial Access Malware" bezeichnet.
Um welche Schadsoftware geht es?
Fachleute sprechen von "Droppern" und "Loadern", weil Cyberkriminelle damit auf gehackten Systemen weitere Malware installieren können. Hauptsächlich betroffen ist das Microsoft-Betriebssystem Windows. Infizierte Rechner werden in Verbünden, sogenannten Botnets, zusammengeschlossen.
Der Einsatz habe sich vor allem gegen die Gruppierungen hinter sechs Schadsoftware-Familien, teilen das deutsche Bundeskriminalamt und Europol mit:
- "IcedID", auf Englisch ein "Remote Access Trojan" (RAT), also eine Schadsoftware, die heimlichen Zugriff auf fremde Systeme ermöglicht, wurde erstmals 2017 in freier Wildbahn gesichtet. Ursprünglich wurden damit E-Banking-User attackiert.
- "SystemBC", eine erstmals 2018 gesichtete Proxy-Malware, ermöglicht es Cyberkriminellen, einen kompromittierten Computer fernzusteuern und zusätzliche Nutzerdaten zu stehlen.
- "Bumblebee", ein Malware-Loader, entdeckt 2022, soll von der Ransomware-Bande Conti entwickelt worden sein. Das Trickbot-Cybercrime-Syndikat soll ihn bei Cyberattacken als Ersatz für die berüchtigte Bazar-Loader-Malware eingesetzt haben.
- "Smokeloader" ist die Bezeichnung für eine Gruppe von Trojanern, die sich nahezu perfekt tarnt in fremden Systemen und mit denen auch andere Malware auf infizierten Rechnern gelöscht werden konnte. Die Ursprünge reichen bis ins Jahr 2011 zurück.
- "Pikabot" ist ein relativ neuer Trojaner, der Anfang 2023 auftauchte, es handelt sich um den Nachfolger des berüchtigter QakBot-Trojaner (QBot), der auch von Ransomware-Banden verwendet wurde.
- "Trickbot" war ursprünglich ein Banken-Trojaner für Windows-Systeme, der 2016 erstmals beobachtet wurde. Die mutmasslich russischen Entwickler machten daraus eine modulare Schadsoftware, die diverse Angriffsmöglichkeiten bietet. Damit lassen sich vom infizierten System etwa wertvolle Daten stehlen und Verschlüsselungsattacken starten.
Wer sind die Täter?
Bei den von deutschen Behörden koordinierten Massnahmen sind den Angaben zufolge zehn internationale Haftbefehle erlassen und vier Menschen vorläufig festgenommen worden. Gegen insgesamt acht Akteure seien Haftbefehle erlassen worden.
Auf dieser Grundlage werde nach sieben Personen gefahndet, die im dringenden Verdacht stünden, "sich als Mitglied an einer kriminellen Vereinigung zum Zwecke der Verbreitung der Schadsoftware Trickbot beteiligt zu haben", teilten die Ermittler weiter mit.
Bei dem Einsatz am Dienstag und Mittwoch gab es den Angaben zufolge Durchsuchungen in insgesamt 16 Objekten in Armenien, den Niederlanden, Portugal und der Ukraine, bei denen zahlreiche Beweismittel sichergestellt worden seien. Die dabei sichergestellten Daten würden derzeit ausgewertet und könnten zu weiteren Ermittlungen führen.
Wie wichtig ist das?
Die Auswirkungen der "Operation Endgame" sind noch nicht absehbar. Es handelt sich um einen massiven Schlag gegen kriminelle Banden, von denen viele Hintermänner aus Osteuropa und Russland stammen. Betroffen sind auch die gefährlichsten Ransomware-Gruppen, die weltweit Milliardenschäden anrichten.
"Mit der bislang grössten internationalen Cyber-Polizeioperation ist den Strafverfolgungsbehörden ein bedeutender Schlag gegen die Cybercrime-Szene gelungen", sagte BKA-Vizepräsidentin Martina Link. "Der aktuelle Erfolg stützt sich auf Massnahmen gegen Infrastrukturen, Akteure und ihre Finanzmittel."
Nur mit gemeinsamen Massnahmen wie der Beschlagnahme krimineller IT-Infrastruktur und der Abschöpfung kriminell erlangter Finanzmittel könne man "die Verantwortlichen von global tätigen Schadsoftwaregruppierungen" effektiv verfolgen, wird Oberstaatsanwalt Benjamin Krause von der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) bei der Generalstaatsanwaltschaft Frankfurt am Main zitiert.
Wer ist an der "Operation Endgame" beteiligt?
An der Aktion waren demnach Strafverfolger aus den Niederlanden, Frankreich, Dänemark, Grossbritannien, Österreich sowie den USA beteiligt. Unterstützt wurden sie von der europäischen Polizeibehörde Europol und der Agentur der Europäischen Union für justizielle Zusammenarbeit in Strafsachen (Eurojust).
Im Rahmen internationaler Rechtshilfe hätten sich auch die portugiesischen, ukrainischen, schweizerischen, litauischen, rumänischen, bulgarischen sowie armenischen Strafverfolgungsbehörden beteiligt.