Ein Riesen-Ermittlungserfolg, der Internetnutzern in ganz Europa ein wenig mehr Sicherheit verschafft: Europaweit haben Fahnder mehrere der derzeit einflussreichsten Schadsoftware-Familien vom Netz genommen. Sogar die Behörden in den USA waren an der „Operation Endgame“ beteiligt.
Maßgeblich koordiniert wurde die Aktion durch die bei der Generalstaatsanwaltschaft in Frankfurt/Main angesiedelten Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) und durch das BKA. Im Zuge der internationalen «Operation Endgame» wurden weltweit über 100 Server beschlagnahmt sowie über 1.300 kriminell genutzte Domains unschädlich gemacht. Gegen einen identifizierten Betreiber und Administrator wurde ein Vermögensarrest in Höhe von 69 Millionen Euro erwirkt. Zudem wurden 99 Krypto-Wallets mit einem aktuellen Gesamtvolumen von mehr als 70 Millionen Euro bei zahlreichen Krypto-Börsen gesperrt.
Fahndung nach weltweit agierenden Cyber-Gangstern
Außerdem wurden zehn internationale Haftbefehle erlassen und vier Personen vorläufig festgenommen. In insgesamt 16 Objekten in Armenien, den Niederlanden, in Portugal und der Ukraine fanden Durchsuchungen statt. Dabei stellten die Fahnder zahlreiche Beweismittel sicher. Die bei der «Operation Endgame» sichergestellten Daten werden derzeit ausgewertet und könnten zu Anschlussermittlungen führen, vermuten die Ermittler.
Den «Takedowns» (Begriff aus dem Kampfsport: Unterwerfung) gingen langwierige und aufwändige Ermittlungen in den beteiligten Staaten voraus. In Deutschland werden die Ermittlungen zum Beispiel wegen Verdachts der banden- und gewerbsmäßigen Erpressung sowie der Mitgliedschaft in einer kriminellen Vereinigung im Ausland geführt. Ziel der internationalen Operation war die nachhaltige Bekämpfung des weltweiten Cybercrime. Nicht nur gegen einzelne Schadsoftware-Familien wird vorgegangen. Es werden auch Maßnahmen gegen die technische und finanzielle Infrastruktur der Tätergruppen gebündelt.
Mit Viren und Trojanern Computersysteme gekapert
Die aktuellen Maßnahmen richteten sich in erster Linie gegen die Gruppierungen hinter den sechs
Schadsoftware-Familien «IcedID», «SystemBC», «Bumblebee», «Smokeloader», «Pikabot» und «Trickbot». Sie standen als sogenannte «Dropper» mit mindestens 15 Ransomware-Gruppierungen in Verbindung. «Dropper» sind Schadsoftware-Varianten – sogenannte Malware –, die zur Erstinfektion genutzt werden. Sie dienen Cyberkriminellen sozusagen als Türöffner, um unbemerkt Opfersysteme zu infizieren und weitere Schadsoftware nachzuladen.
Mit solchen Bannern warnen die Ermittler die Betreiber von infizierten Computersystemen und bitten sie um Mithilfe.
Dies geschieht etwa mit dem Ziel, persönliche Daten wie Nutzernamen und Passwörter abzugreifen oder infizierte Systeme beziehungsweise dadurch betroffene Netzwerke im Fall von Ransomware in erpresserischer Absicht zu verschlüsseln, erläuterte das BKA heute in einer umfangreichen Presse-Information. Der aus deutscher Sicht gefährlichste «Dropper» war die Schadsoftware «Smokeloader». Sie existiert bereits seit über zehn Jahren und entwickelte sich fortlaufend weiter.
Behörden entern Systeme der Kriminellen
Bei den internationalen Maßnahmen wurden die technische Infrastruktur von «Smokeloader» sowie fünf weiterer «Dropper»-Dienste beschlagnahmt und deren Kontrolle von den Strafverfolgungsbehörden übernommen. Damit wurde den Tätern der Zugriff auf tausende Opfersysteme entzogen. Allein das Botnetz von «Smokeloader» umfasste im Verlauf des vergangenen Jahres mehrere hunderttausend Systeme. Für die Benachrichtigung der Opfer einer Botnetz-Infektion ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) zuständig.
Gegen insgesamt acht Akteure wurden von Deutschland Haftbefehle erlassen. Auf dieser Grundlage
fahnden die deutschen Ermittler nach sieben identifizierten Personen. Sie stehen im dringenden Verdacht, sich als Mitglieder an der kriminellen Vereinigung zum Zwecke der Verbreitung der Schadsoftware «Trickbot» beteiligt zu haben. Zudem wird nach einem weiteren Beschuldigten gefahndet, der einer der Rädelsführer der Gruppierung hinter der Schadsoftware
«Smokeloader» sein soll. Das BKA hat Fahndungsfotos sowie Hilfeersuchen in mehreren Sprachen auf seinen Internetseiten veröffentlicht.
(Quelle: BKA)
Fotos:
Banner: BKA
Symbolfoto (Hacker): Dee / Pixabay
30.05.24 wel