Internationale Strafverfolger gehen weiter gegen Malware-Autoren vor. Im Rahmen der "Operation Endgame 2.0" haben die Sicherheitsbehörden aus Deutschland – das BKA und die Generalstaatsanwaltschaft Frankfurt am Main – die Cyberkriminellen nun empfindlich getroffen. Allein in Deutschland nahmen die Behörden 50 Server vom Netz, 650 Domains sind nicht mehr unter der Kontrolle der Cybergangster.
Siebenunddreißig Verdächtige haben die Ermittler identifiziert und zwanzig internationale Haftbefehle erlassen, zudem fahndet die Generalstaatsanwaltschaft Frankfurt (Zentralstelle zur Bekämpfung der Internetkriminalität, ZIT) öffentlich nach den mutmaßlichen Cyberkriminellen. Insgesamt 18 mutmaßliche Mitglieder der Gruppierungen Trickbot und Qakbot sucht sie mittels Steckbrief. Diese sind jedoch allesamt russische Staatsbürger, dürften für die westliche Justiz also unerreichbar sein. Dennoch verringert sich der Bewegungsspielraum der Verdächtigen, denen zudem auch einiges Kleingeld in der Krypto-Börse fehlen dürfte: Bitcoin im Gesamtwert von umgerechnet 3,5 Millionen Euro gingen den Fahndern ebenfalls ins Netz.
Auch die technische Infrastruktur der Malware-Autoren haben die Ermittler angegriffen: Insgesamt entzogen sie 300 Server dem Zugang der Täter, wie es in der Pressemitteilung heißt – nahmen diese also vom Netz oder übernahmen sie. Fünfzig der Server standen in Deutschland. Erst am gestrigen Donnerstag, dem 22. Mai hatten Microsoft und Europol bekanntgegeben, dass sie die Command&Control-Infrastruktur der Infostealer-Malware Lumma lahmgelegt haben.
Im Fokus der Ermittlungen stehen die Malware-Gruppierungen und -Varianten Bumblebee, Latrodectus, Qakbot, DanaBot, HijackLoader, Warmcookie und Trickbot, allesamt Dropper zum Nachladen weiterer Schadsoftware wie Ransomware. Das ist kein Zufall, sondern Strategie: Die Behörden wollen am vordersten Glied der "Kill Chain" ansetzen, dem Erstzugriff auf angegriffene Systeme. Dieser passiert oft durch Malware-Loader, die sich etwa als legitimer Download tarnen oder über "Clickfix"-Angriffe mittels angeblicher Captchas vom Opfer selbst ausgeführt werden. Behindere man diese Erstinfektion, so könnten die Kriminellen weitere Aktionen wie Ransomware-Infektionen gar nicht erst ausführen, erklären die Ermittler.
BKA-Präsient Holger Münch zeigt sich zufrieden: "Unsere Strategien wirken – auch im vermeintlich anonymen Darknet". Oberstaatsanwalt Krause, Leiter der ZIT, lässt sich mit einem positiven Zwischenfazit zitieren: "Die internationale Kooperation der Strafverfolgungsbehörden zur Bekämpfung von Cybercrime funktioniert und wird ständig fortentwickelt."
Auch die US-Behörden sind im Rahmen der Operation Endgame 2.0 nicht untätig. Gegen den mutmaßlichen Hauptautor von Qakbot, Rustam G., erhebt das US-Justizministerium Anklage wegen seiner Beteiligung an verschiedenen Angriffen auf Unternehmen in den Vereinigten Staaten und Kanada. Er habe gemeinsam mit seinen Komplizen deren Rechner mit Qakbot und anderer Malware infiziert und darüber Ransomware wie Prolock, Doppelpaymer, REvil, Conti, Black Basta und Cactus ausgeführt. Auch gegen insgesamt 16 Verdächtige, die die DanaBot-Malware entwickelt und eingesetzt haben sollen, erhebt ein Staatsanwalt in Kalifornien Anklage. Alexandr S. und Artem K. aus dem russischen Nowosibirsk sollen gemeinsam mit ihren Komplizen über 50 Millionen US-Dollar Schaden auf über 300.000 Computern angerichtet haben.
Die zweite Runde der Operation Endgame folgt auf ihren Beginn vor fast genau einem Jahr, Ende Mai 2024. Damals waren zehn internationale Haftbefehle erlassen und vier Personen vorläufig festgenommen worden.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare