Bei einer internationalen Großrazzia haben Ermittlungsbehörden weltweit mehr als 100 Server beschlagnahmt und rund 1300 Internetdomains außer Betrieb gesetzt. Dies gaben die Generalstaatsanwaltschaft Frankfurt am Main und das Bundeskriminalamt (BKA) am Donnerstagmorgen bekannt und bezeichneten die Aktion als den bisher größten Schlag gegen Cyberkriminelle. Im Rahmen der Operation 'Endgame' wurden mehrere bedeutende Schadsoftware-Familien vom Netz genommen – Software, die Kriminellen bislang den Zugang zu fremden Computersystemen ermöglichte.
Die Großrazzia, die von deutschen Behörden koordiniert wurde, führte zur Festnahme von vier Personen und zu der Ausstellung von zehn internationalen Haftbefehlen. Acht der Haftbefehle wurden aus Deutschland heraus erwirkt, teilten die Ermittler weiter mit. Insgesamt wird nach sieben Personen gefahndet, die im Verdacht stehen, eine kriminelle Vereinigung zur Verbreitung der Schadsoftware Trickbot zu unterstützen.
Durchsuchungen in vier Ländern
Am Dienstag und Mittwoch wurden 16 Objekte in Armenien, den Niederlanden, Portugal und der Ukraine durchsucht, wobei umfangreiche Beweismittel sichergestellt wurden. Die Behörden erhoffen sich von der Auswertung der beschlagnahmten Daten weitere Hinweise und Fortschritte in ihren Ermittlungen.
Zu bemerkenswerten Erfolgen gehörte unter anderem der Vermögensarrest in Höhe von 69 Millionen Euro gegen einen identifizierten Betreiber und Administrator. Ferner wurden 99 Krypto-Wallets im Wert von mehr als 70 Millionen Euro eingefroren. Diese Wallets dienen dem Transfer und der Lagerung von Kryptowährungen wie Bitcoin und Ethereum.
Digitale Türöffner im Fokus
Gegenstand der Operation waren unter anderem sechs bedeutende Schadsoftware-Familien: IcedID, SystemBC, Bumblebee, Smokeloader, Pikabot und Trickbot. Diese sogenannten 'Dropper' sind für die Erstinfektion von Computern verantwortlich und ermöglichen es Kriminellen, weitere Schadsoftware auf die betroffenen Systeme zu laden. Oftmals werden dabei persönliche Daten wie Nutzernamen und Passwörter gestohlen oder die Systeme mittels Ransomware verschlüsselt, um ein Lösegeld zu erpressen.
Smokeloader wurde von den deutschen Ermittlungsbehörden als gefährlichster 'Dropper' eingestuft. Diese Schadsoftware, die seit über zehn Jahren in Umlauf ist, hat allein im letzten Jahr mehrere hunderttausend Systeme infiziert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird die Opfer der Botnetz-Infektionen benachrichtigen.
Lob und Dankbarkeit
Bundesinnenministerin Nancy Faeser würdigte die Operation als bedeutenden Erfolg im Kampf gegen Internetkriminalität. 'Die Beschlagnahmung von mehr als 100 Servern und die Stilllegung von über 1300 kriminell genutzten Domains zeigen unsere Stärke und die Dimension dieses Problems,' erklärte die SPD-Politikerin. Diese Operation habe die Infrastruktur zerschlagen, die weltweit zahlreiche Ransomware-Angriffe verursachte und massive wirtschaftliche Schäden für den Standort Deutschland bedeutete.
Auch die Vizepräsidentin des BKA, Martina Link, hob die Bedeutung der Aktion hervor: 'Der bisher größte internationale Schlag der Cyber-Polizei ist ein bedeutender Erfolg gegen die Cybercrime-Szene.' Die Aktion stütze sich auf Kombinationen aus Maßnahmen gegen Infrastrukturen, Akteure und deren Finanzmittel.
An der Aktion waren Strafverfolger aus den Niederlanden, Frankreich, Dänemark, Großbritannien, Österreich und den USA beteiligt, unterstützt von Europol und der Agentur der Europäischen Union für justizielle Zusammenarbeit in Strafsachen.