In einer koordinierten Aktion ist dem Bundeskriminalamt (BKA) und Behörden in weiteren Ländern ein Schlag gegen die weltweite Cyberkriminalität gelungen. Am Dienstag und Mittwoch seien bei der Aktion 100 Server beschlagnahmt sowie über 1.300 kriminell genutzte Domains unschädlich gemacht worden, teilten die Generalstaatsanwaltschaft Frankfurt und das BKA am Donnerstag mit.
Demnach sollen mehrere der „derzeit einflussreichsten Schadsoftware-Familien“ vom Netz genommen worden sein. Beteiligt waren unter anderem die Strafverfolgungsbehörden aus den Niederlanden, Frankreich, Dänemark, Großbritannien, Österreich sowie den USA. Unterstützung gab es zudem durch Europol und Eurojust sowie die portugiesischen, ukrainischen, schweizerischen, litauischen, rumänischen, bulgarischen sowie armenischen Strafverfolgungsbehörden.
Bei den maßgeblich durch die Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) und das BKA koordinierten Maßnahmen im Zuge der internationalen Operation „Endgame“ wurde gegen einen Betreiber und Administrator ein Vermögensarrest in Höhe von 69 Millionen Euro erwirkt. Zudem wurden 99 Krypto-Wallets mit einem aktuellen Gesamtvolumen in Höhe von mehr als 70 Millionen Euro bei mehreren Kryptobörsen gesperrt. Weiterhin wurden zehn internationale Haftbefehle erlassen und vier Personen vorläufig festgenommen.
Im Rahmen der Gesamtmaßnahmen fanden Durchsuchungen an insgesamt 16 Objekten in Armenien, den Niederlanden, Portugal und der Ukraine statt, bei denen Beweismittel sichergestellt wurden. Die bei der Operation „Endgame“ sichergestellten Daten würden derzeit ausgewertet und könnten zu Anschlussermittlungen führen, so die Behörden weiter.
Die Maßnahmen richteten sich in erster Linie gegen die Gruppierungen hinter den sechs Schadsoftware-Familien IcedID, SystemBC, Bumblebee, Smokeloader, Pikabot und Trickbot, die als sogenannte „Dropper“ mit mindestens 15 Ransomware-Gruppierungen in Verbindung standen. Dropper sind Schadsoftware-Varianten, die zur Erstinfektion genutzt werden und Cyberkriminellen als Türöffner dienen, um unbemerkt Opfersysteme zu infizieren und dann weitere Schadsoftware nachzuladen. Dies geschieht etwa mit dem Ziel, persönliche Daten wie Nutzernamen und Passwörter abzugreifen oder infizierte Systeme beziehungsweise dadurch betroffene Netzwerke im Fall von Ransomware in erpresserischer Absicht zu verschlüsseln.
Der aus deutscher Sicht gefährlichste Dropper war die Schadsoftware Smokeloader, die bereits seit über zehn Jahren existierte und sich fortlaufend weiterentwickelte. Bei den internationalen Maßnahmen wurde den deutschen Behörden zufolge die technische Infrastruktur von Smokeloader sowie fünf weiterer Dropperdienste beschlagnahmt und deren Kontrolle von den Strafverfolgungsbehörden übernommen. Damit wurde den Tätern der Zugriff auf tausende Opfersysteme entzogen. Allein das Botnetz von Smokeloader umfasste im Verlauf des vergangenen Jahres mehrere hunderttausend Systeme. Für die Benachrichtigung der Opfer einer Botnetz-Infektion ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) zuständig.
Gegen insgesamt acht Akteure wurden von Deutschland Haftbefehle erlassen. Auf dieser Grundlage fahnden BKA und ZIT gemeinsam nach sieben identifizierten Personen, die im dringenden Verdacht stehen, sich als Mitglied an einer kriminellen Vereinigung zum Zwecke der Verbreitung der Schadsoftware Trickbot beteiligt zu haben. Zudem wird nach einem weiteren Beschuldigten gefahndet, der verdächtig ist, einer der Rädelsführer der Gruppierung hinter der Schadsoftware Smokeloader zu sein.
„Mit der bislang größten internationalen Cyber-Polizeioperation ist den Strafverfolgungsbehörden ein bedeutender Schlag gegen die Cybercrime-Szene gelungen“, sagte BKA-Vizepräsidentin Martina Link. „Der aktuelle Erfolg stützt sich auf Maßnahmen gegen Infrastrukturen, Akteure und ihre Finanzmittel und ist geeignet, das Vertrauen innerhalb der Underground Economy zu beeinträchtigen.“