BKA: Operation Endgame: Erneut gefährliche Malware-Varianten vom Netz genommen
Wiesbaden (ots)
Schlag gegen Verbreitung von Ransomware: Deutschland und internationale Partner gehen gegen zwei der gefährlichsten Schadsoftware-Varianten vor
Die Generalstaatsanwaltschaft Frankfurt am Main - Zentralstelle zur Bekämpfung der Inter-netkriminalität (ZIT) - und das Bundeskriminalamt (BKA) haben in einer international abgestimmten Aktion in dieser Woche gemeinsam mit Strafverfolgungsbehörden aus den Niederlanden, Frankreich, Dänemark, Belgien und den USA sowie mit Unterstützung durch Australien, Kanada, das Vereinigte Königreich, Europol und Eurojust einen der gefährlichsten Stealer und einen der meistgenutzten Trojaner weltweit unschädlich gemacht.
Der Fokus der internationalen Ermittlungen als Teil der Operation Endgame lag auf der Abschaltung der technischen Infrastruktur von Rhadamanthys, einem der führenden Stealer weltweit. Die Maßnahmen richteten sich gegen mehr als 1.000 täterseitig genutzte Server, davon über 180 in Deutschland. Die Strafverfolgungsbehörden konnten in diesem Zusammenhang kompromittierte Opferdaten im hohen zweistelligen Millionenbereich von über 650.000 Opfern sicherstellen und über Informationsplattformen der Öffentlichkeit zum individuellen Abgleich bereitstellen. Darüber hinaus wurden Maßnahmen gegen eine der wichtigsten Remote-Access-Trojan-Varianten, VenomRAT, erfolgreich umgesetzt.
Im Zuge der internationalen Ermittlungen ist eine Festnahme in Griechenland erfolgt. Elf Objekte wurden durchsucht, eins davon in Deutschland.
Darüber hinaus haben die Strafverfolgungsbehörden täterseitige Kryptowerte in Höhe von über 200 Millionen US-Dollar von führenden Kryptowährungsbörsen sperren lassen. Die Möglichkeiten der Cyberkriminellen, Gelder in den legalen Geldkreislauf einzubringen, werden dadurch erheblich eingeschränkt.
Den aktuellen Maßnahmen gingen aufwändige Ermittlungen in den beteiligten Staaten voraus. In Deutschland werden die Ermittlungen unter anderem wegen des Verdachts der Erpressung im besonders schweren Fall sowie der Mitgliedschaft in einer kriminellen Vereinigung im Ausland geführt.
Leiter der Abteilung Cybercrime Carsten Meywirth: "Wir haben die Reaktionen auf unsere erfolgreichen Maßnahmen der vergangenen beiden Jahre genau beobachtet. Das Risiko für Cyberkriminelle durch Strafverfolgungsbehörden identifiziert zu werden ist erheblich gestiegen. Wir gehen gegen die Kriminellen selbst und ihre Infrastruktur vor. Wir entziehen ihnen ihre finanziellen Mittel und machen deutlich, dass wir Ransomware auch in Zukunft mit allen uns zur Verfügung stehenden Mitteln verfolgen werden. Wir tragen so einen wichtigen Teil zur aktiven Cyberabwehr bei und setzen dem arbeitsteiligen Handeln im Cybercrime-as-a-service-Ökosystem ein starkes Netzwerk von Strafverfolgungsbehörden entgegen. Die Operation Endgame wird weitergehen."
ZIT-Leiter Oberstaatsanwalt Dr. Benjamin Krause: "Die Operation Endgame steht seit 2024 sinnbildlich für die Strategie der Strafverfolgungsbehörden bei der Bekämpfung von organisierter Cybercrime: Identifizierung der Tatverdächtigen, Beschlagnahme der digitalen Tatmittel und Abschöpfung der digitalen Taterträge. Entscheidend für den Erfolg ist neben der ständigen Anpassung der Maßnahmen an Fortentwicklungen der Täterseite vor allem die internationale Kooperation der Strafverfolgungsbehörden. Beides wird in der Operation Endgame fortlaufend ausgebaut und vertieft."
Strategie der Operation Endgame
Ziel der Operation Endgame ist es, die zur Ausbringung von Ransomware genutzten Werkzeuge unschädlich zu machen. Die Sicherheitsbehörden setzen unmittelbar am Anfang der An-griffskette ("Kill Chain") an, um das gesamte "Cybercrime-as-a-service"-Ökosystem an der Wurzel zu schädigen. Durch gebündelte Maßnahmen gegen die täterseitig genutzte technische und finanzielle Infrastruktur sowie gegen die Akteure soll das Geschäftsmodell der Cyberkriminellen nachhaltig zurückgedrängt, das Risiko für die Täter stark erhöht und weitere Straftaten abgewendet oder erschwert werden.
Zunächst wurden hauptsächlich sogenannte Dropper bzw. Loader zur Ausbringung von Ransomware genutzt. Sie dienten Cyberkriminellen als Türöffner, um unbemerkt Opfersysteme zu infizieren und dann weitere Schadsoftware nachzuladen. Die früheren Maßnahmen seit Beginn der Operation Endgame bewirkten zunächst einem spürbaren Rückgang von Dropper- und Loaderaktivitäten, später eine Verlagerung hin zu Stealern und Remote Access Trojanern.
Stealer gehören zu den derzeit am weitesten verbreiteten Formen von Schadsoftware. Sie zielen analog eines Taschendiebstahles zunächst darauf ab, unbemerkt sensible Daten von infizierten Systemen zu stehlen. Nach der Infektion durchsuchen Stealer das infizierte System automatisiert nach sensiblen Informationen und stellen diese dann anderen Cyberkriminellen gegen Bezahlung zur Verfügung. Bisher erfüllten Stealer in der Regel hauptsächlich den Zweck, Zugangsdaten aus dem Opfersystem zu extrahieren und diese in der Underground Economy zu verkaufen. Remote-Access-Trojaner (RAT) zielten ursprünglich darauf ab, eine Fernsteuerung des kompromittierten Systems zu erreichen. Beide Malware-Varianten gelangen in der Regel über Phishing-Mails oder kompromittierte Anhänge oder maliziöse oder manipulierte Webseiten auf die Systeme ihrer Opfer. Seit den Erfolgen der Operation Endgame im Bereich der Loader und Dropper werden sie vermehrt auch zur unmittelbaren manuellen Ausbringung von Ransomware eingesetzt. So sind sie in den Fokus der aktuellen Maßnahmen gerückt.
Bei Rhadamanthys handelt sich um einen hochentwickelten, global eingesetzten Info-Stealer, der wegen seinen technischen Fähigkeiten, seiner Anpassungsfähigkeiten und seinem weitreichenden Vertriebsnetz zu den TOP-Malware-Varianten weltweit zählt. Diese hochspezialisier-te Malware wurde erstmals im Dezember 2022 dokumentiert und zielt auf Unternehmen und Privatnutzer ab.
VenomRAT wurde erstmals 2020 erkannt und gilt als modifizierter Ableger des berüchtigten Quasar RAT. Es handelte sich um einen speziell für Windows-Betriebsysteme entwickelten Remote-Access-Trojaner.
Auf den Webseiten der betroffenen illegalen Dienste wurde das nachfolgende Sicherstellungs-banner veröffentlicht:
Die Operation Endgame wird fortgesetzt.
Informationen für Täter und Zeugen:
Um die Täter und ihr Umfeld zum Umdenken zu bewegen, bevor weitere Exekutivmaßnahmen durchgeführt werden, fließen Teile der in der Operation Endgame gewonnenen Erkenntnisse erneut in Kurzvideos mit der Botschaft "Operation Endgame - think about (y)our next move" ein. Sie bieten auch potenziellen Zeugen eine Orientierung und laden dazu ein, die Tätergruppierungen über entsprechende Hinweise an die Strafverfolgungsbehörden restlos aufzuklären. Zudem wurden zahlreiche Nutzer krimineller Dienste mit dem Angebot kontaktiert, einschlägige Informationen über den eigens eingerichteten Telegram-Kanal t.me/operationendgame zu melden. Weitere Informationen sind fortlaufend auf der Webseite der internationalen polizeilichen Partner abrufbar: www.operation-endgame.com
Informationen für Opfer:
Seit Mai 2024 unterstützt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Endgame-Partner, bei den jetzt durchgeführten Maßnahmen der OP-Endgame insbesondere durch gezielte Warnung der Provider der infizierten Opfersysteme. Weitere Informationen zum Thema Botnetze sowie Steckbriefe zu den Schadsoftware-Varianten mit Hinweisen zur Bereinigung infizierter Systeme sind auf der BSI-Webseite abrufbar: https://www.bsi.bund.de/dok/botnetz-provider-info.
Die niederländischen Behörden bieten im Internet unter www.politie.nl/en/topics/check-your-hack.html für jedermann die Möglichkeit, zu überprüfen, ob eigene Login-Credentials (beispielsweise E-Mail-Adressen und Passwörter) kompromittiert sind. Eine weitere Möglichkeit hierfür bietet das Portal www.haveibeenpwned.com.
Weitere Informationen zur Operation Endgame sowie eine digitale Pressemappe finden Sie auf der BKA-Webseite unter: www.bka.de/Endgame.
Bewegtbildmaterial kann die Pressestelle des BKA auf Anfrage zur Verfügung stellen.
Rückfragen bitte an:
Bundeskriminalamt
Pressestelle
Telefon: 0611-551 3083
Fax: 0611-551 2323
E-Mail: pressestelle@bka.bund.de
www.bka.de
Original-Content von: Bundeskriminalamt, übermittelt durch news aktuell