Der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) und dem Bundeskriminalamt (BKA) ist in Zusammenarbeit mit Europol und zahlreichen nationalen Polizeibehörden Aktion ein großer Schlag gegen Cyberkriminelle gelungen. Ziel der "Operation Endgame" genannten Aktion war laut BKA "die Zerschlagung der relevantesten Schadsoftwarefamilien der Kategorie Initial Access Malware (sogenannte Dropper oder Loader)." Derartige Schadsoftware wird in der Regel via Spam-E-Mails verbreitet und ist darauf spezialisiert, Systeme unbemerkt zu infizieren und sie unter die Kontrolle der Angreifer zu bringen.
Bei den durch die ZIT und das BKA koordinierten Maßnahmen wurden den Behörden zufolge weltweit über 100 Server beschlagnahmt sowie über 1.300 kriminell genutzte Domains unschädlich gemacht. Gegen einen identifizierten Betreiber und Administrator wurde ein Vermögensarrest in Höhe von 69 Millionen Euro erwirkt - das heißt, dieser Betrag wurde "eingefroren". Zudem seien 99 Krypto-Wallets mit einem aktuellen Gesamtvolumen in Höhe von mehr als 70 Millionen Euro gesperrt worden. Es wurden auch 10 internationale Haftbefehle erlassen und vier Personen vorläufig festgenommen.
Im Rahmen der Maßnahme fanden Durchsuchungen an insgesamt 16 Objekten in Armenien, den Niederlanden, Portugal und der Ukraine statt, bei denen zahlreiche Beweismittel sichergestellt wurden. Die sichergestellten Daten werden derzeit ausgewertet. Sie können zu Anschlussermittlungen führen. Für acht Personen wurde eine Öffentlichkeitsfahndung ausgeschrieben.
Gegen diese Malware-Familien richtete sich die Aktion
Die aktuellen Maßnahmen richteten sich laut BKA in erster Linie gegen die Gruppierungen hinter sechs Schadsoftware-Familien: IcedID, SystemBC, Bumblebee, Smokeloader, Pikabot und Trickbot. Die wiederum werden von mindestens 15 Ransomware-Gruppierungen genutzt. Der aus deutscher Sicht gefährlichste Dropper war die Schadsoftware Smokeloader (auch als "Dofoil" bezeichnet). Sie existiert bereits seit über zehn Jahren und entwickelte sich fortlaufend weiter.
Bei den jüngsten Maßnahmen wurde laut BKA die technische Infrastruktur von Smokeloader sowie der fünf anderen Dropper-Dienste beschlagnahmt und deren Kontrolle von den Strafverfolgungsbehörden übernommen. Damit sei den Tätern der Zugriff auf tausende Opfersysteme entzogen worden. "Allein das Botnetz von Smokeloader umfasste im Verlauf des vergangenen Jahres mehrere hunderttausend Systeme", erklärt das BKA. Die Benachrichtigung der Opfer einer Botnetz-Infektion obliegt dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Das dürfte sich in nächste Zeit mit zahlreichen Personen und Firmen in Verbindung setzen.
Weitere Enthüllungen bereits angekündigt
Die groß angelegte Aktion war zwar ein Erfolg, ist aber noch nicht zu Ende. Ein weiteres wichtiges Ziel ist es, Kriminellen deutlich zu machen, dass sie nicht unantastbar sind.
"Dies ist Staffel 1 der Operation Endgame. Bleiben Sie dran. Es wird sicher spannend. Aber vielleicht nicht für jeden. Einige Ergebnisse finden Sie hier, andere werden auf andere und unerwartete Weise zu Ihnen kommen", erklärt das BKA auf einer extra dafür eingerichteten Webseite, auf der ein Countdown weitere Enthüllungen für den 30.5.2024 am Nachmittag ankündigt.