Operation Endgame: Großer Schlag gegen weltweite Cyberkriminalität

Ermittler des BKA und mehrerer anderer Länder haben weltweit mehr als 100 Server beschlagnahmt und 1300 Domains außer Betrieb gesetzt. Das teilten die Generalstaatsanwaltschaft Frankfurt am Main und das Bundeskriminalamt (BKA) am Donnerstagmorgen mit. Die "Operation Endgame" richtete sich hauptsächlich gegen die Gruppierungen hinter den Botnetzen der sechs Schadsoftware-Familien IcedID, SystemBC, Bumblebee, Smokeloader, Pikabot und Trickbot. Diese Dropper genannte Malware stehe mit mindestens 15 Ransomware-Gruppierungen in Verbindung, erläutert das BKA.

Ein Dropper ist gewissermaßen ein Paket, in dem sich ein Virus befindet, der erstmalig ausgesetzt wird. Ähnlich wie bei biologischen Viren, die nicht eigenständig funktionsfähig sind und immer einen Wirt in Form einer Anwendung benötigen, ist der Dropper somit das Trägerprogramm, die ein Virus benötigt, um initial in Aktion treten zu können. Cyberkriminellen dienen sie als Türöffner, um unbemerkt Opfersysteme zu infizieren und dann weitere Schadsoftware nachzuladen. Damit werden persönliche Daten wie Nutzernamen und Passwörter abgegriffen oder infizierte Systeme mit Ransomware in erpresserischer Absicht verschlüsselt.

Als aus deutscher Sicht gefährlichsten Dropper sieht das BKA Smokeloader, der bereits seit über zehn Jahren existiere und fortlaufend weiterentwickelt wurde. Während der Operation Endgame sei die technische Infrastruktur von Smokeloader sowie fünf weiterer Dropperdienste beschlagnahmt und deren Kontrolle von den Strafverfolgungsbehörden übernommen worden. "Damit wurde den Tätern der Zugriff auf tausende Opfersysteme entzogen", schreibt das BKA. Allein das Botnetz von Smokeloader habe allein im vorigen Jahr mehrere hunderttausend Systeme umfasst.

Zehn Haftbefehle

Bei dem Einsatz am Dienstag und Mittwoch wurden als Finale langwieriger Ermittlungen 16 Objekte in Armenien, den Niederlanden, Portugal und der Ukraine durchsucht, dabei seien zahlreiche Beweismittel sichergestellt worden. Die dabei beschlagnahmten Daten würden derzeit ausgewertet und könnten zu weiteren Ermittlungen führen.

Zehn internationale Haftbefehle wurden erlassen, vier Personen vorläufig festgenommen. Gegen insgesamt acht Akteure seien von Deutschland Haftbefehle erlassen worden, schreibt das BKA. Auf dieser Grundlage werde nach sieben Personen gefahndet, die im dringenden Verdacht stünden, "sich als Mitglied an einer kriminellen Vereinigung zum Zwecke der Verbreitung der Schadsoftware Trickbot beteiligt zu haben", teilten die Ermittler weiter mit.

"Größte internationale Polizeioperation gegen Cyberkriminalität"

"Gegen einen identifizierten Betreiber und Administrator wurde ein Vermögensarrest in Höhe von 69 Millionen Euro erwirkt", heißt es in der Mitteilung. Zudem seien 99 Krypto-Wallets mit einem aktuellen Gesamtvolumen von mehr als 70 Millionen Euro bei zahlreichen Kryptobörsen gesperrt.

Lesen Sie auch

Was ist Malware?

An der Aktion waren demnach unter der Leitung des BKA Strafverfolger aus den Niederlanden, Frankreich, Dänemark, Großbritannien, Österreich sowie den USA beteiligt. Unterstützt wurden sie von der Polizeibehörde Europol und der Agentur der Europäischen Union für justizielle Zusammenarbeit in Strafsachen.

"Mit der bislang größten internationalen Cyber-Polizeioperation ist den Strafverfolgungsbehörden ein bedeutender Schlag gegen die Cybercrime-Szene gelungen", sagte BKA-Vizepräsidentin Martina Link der Mitteilung zufolge. "Der aktuelle Erfolg stützt sich auf Maßnahmen gegen Infrastrukturen, Akteure und ihre Finanzmittel."

Die Ermittler haben die auf den beschlagnahmten Servern gefundenen E-Mails und Passwörter dem Projekt HIBP (have i been pwned) übergeben. Damit können die Opfer der Cyberkriminellen informiert werden.

(anw)