Europol blockt rund 600 in kriminellen Aktivitäten gefundene IPs und Domains
Europols Operation Morpheus hat anhand unlizenzierter Cobalt-Strike-Instanzen IPs und Domains mit kriminellen Verbindungen ausgeknippst.
In der Woche vom 24. bis 28. Juni hat Europol 593 IP-Adresse von Internetprovidern blockieren lassen, die im Zusammenhang mit kriminellen Aktivitäten und dem Remote-Access-Tool (RAT) Cobalt Strike stehen. Die Operation ist der bisherige Höhepunkt der Operation Morpheus, in deren Rahmen die internationalen Strafverfolger seit September 2021 ermitteln.
Ausgangspunkt sind alte, unlizenzierte respektive gecrackte Versionen der "Fernverwaltungssoftware" Cobalt Strike. In der Aktionswoche haben die Ermittler bekannte IP-Adressen, die mit kriminellen Aktivitäten in Verbindung stehen, zusammen mit einer Reihe an Domain-Namen gesammelt, damit Online-Dienstanbieter die unlizenzierten Versionen von Cobalt Strike abschalten können. Die Sammlung umfasste 690 IP-Adressen aus 27 Ländern. Am Ende der Woche waren knapp 600 der Adressen ausgeknippst.
Backdoor oder Fernverwaltung: Cobalt Strike
Die Cobalt-Strike-Software nutzen Cyberkriminelle gern, um die Kontrolle über Rechner und Netze zu erlangen, in die sie zuvor eingebrochen sind. Sie erlaubt etwa die Installation weiterer Software und bietet Zugriff aus dem Netz an. Cobalt Strike ist eigentlich für Angriffssimulationen gedacht und dazu mit recht mächtigen Funktionen ausgerüstet. Mit dieser Hintertür ausgestattete Rechner bieten Kriminelle zudem auch im Rahmen von "as-a-Service" etwa zur Miete an. Natürlich zahlen die Betrüger selbst keine Lizenzgebühren, sondern nutzen zumeist ältere, gecrackte Versionen des RATs. Europol erklärt, dass derartige unlizenzierte Cobalt-Strike-Versionen öfter zur Erlangung von Backdoor-Zugriff und zur Installation von Malware missbraucht wurden. Sie hätten sie in mehreren Untersuchungen von Malware- und Ransomware-Vorfällen gefunden, etwa im Kontext von Ryuk, Trickbot und Conti.
Unternehmen aus der Privatwirtschaft haben bei der Operation tatkräftig mitgeholfen, schreibt Europol in der Mitteilung weiter. Nebst Cobalt-Strike-Hersteller Fortra waren BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch und die Shadowserver Foundation beteiligt. Die geänderten Regeln für Europol erlauben diese Zusammenarbeit mit dem privaten Sektor, was den Ermittlern Zugriff auf Echtzeit-Informationen und einen breiteren Blick auf die Taktiken der Kriminellen ermögliche. Das erhöhe zudem die Resilienz des digitalen Ökosystems Europa.
Die Strafverfolger setzen eine als "Malware Information Sharing Platform" genannte Plattform ein, auf der der private Sektor Echtzeit-Informationen mit ihnen teilen kann. Im Laufe der gesamten bisherigen Ermittlungen seien 730 Einträge zu Bedrohungsinformationen sowie fast 1,2 Millionen Indizien für Infektionen (Indicators of Compromise, IOCs) dort eingepflegt worden. Bei der globalen Aktion haben diverse Behörden mitgemacht: Die australische Bundespolizei (Australian Federal Police, AFP), Kanadas Royal Canadian Mounted Police (RCMP), aus Deutschland das Bundeskriminalamt (BKA), aus den Niederlanden die National Police (Politie), aus Polen das Polish Central Cybercrime Bureau (Centralne Biuro Zwalczania Cyberprzestępczości), aus dem Vereinigten Königreich die National Crime Agency (NCA) und aus den USA schließlich das U.S. Department of Justice (DoJ) sowie das Federal Bureau of Investigation (FBI).
"Die Operation endet hier nicht. Die Strafverfolger werden weiterhin beobachten und ähnliche Aktionen starten, solange Cyberkriminelle daran festhalten, ältere Versionen des Tools einzusetzen", ergänzen die Ermittler von Europol.
(dmk)