International
Digital

Operation Endgame: Polizeiaktion gegen Trickbot und weitere Malware

AVIS --- ZUM RECHENZENTERDIENSTLEISTER "DIGITAL REALTY" STELLEN WIR IHNEN FOLGENDES BILD ZUR VERFUEGUNG. WEITERE BILDER FINDEN SIE AUF visual.keystone-sda.ch --- Server-Racks mit Gittertuer  ...
Nach mehrjährigen Ermittlungen hat die Polizei diese Woche zugeschlagen.Bild: keystone

«Bislang grösster Schlag» gegen (russische) Cyberkriminelle – Schweiz beteiligt

Mehrere der derzeit einflussreichsten Schadsoftware-Familien, darunter Trickbot, sind im Rahmen der «Operation Endgame» vom Netz genommen worden. Die Schweiz leistete Rechtshilfe.
30.05.2024, 11:2130.05.2024, 19:27
Mehr «International»

Deutsche Ermittler sprechen vom bislang grössten Schlag gegen Cyberkriminelle: Bei einem Einsatz in mehreren Ländern seien weltweit mehr als 100 Server beschlagnahmt und 1300 Domains ausser Betrieb gesetzt worden. Auch schweizerische Strafverfolgungsbehörden waren beteiligt. Das teilten die Generalstaatsanwaltschaft Frankfurt am Main und das deutsche Bundeskriminalamt (BKA) am Donnerstagmorgen mit.

«Die zerschlagenen Botnetze bestanden aus Millionen von infizierten Computer-Systemen.»
Europol

Um welche Schadsoftware geht es?

Mehrere der derzeit einflussreichsten Schadsoftware-Familien seien vom Netz genommen worden. Es handelt sich dabei um spezielle Software, mit der in krimineller Absicht Zugriff auf fremde Computer erlangt werden kann. Dies wird als «Initial Access Malware» bezeichnet.

Fachleute sprechen von Droppern und Loadern, weil Cyberkriminelle damit auf gehackten Systemen weitere Malware installieren können. Hauptsächlich betroffen ist das Microsoft-Betriebssystem Windows. Infizierte Rechner werden in Verbünden, sogenannten Botnets, zusammengeschlossen.

Der Einsatz habe sich vor allem gegen die Gruppierungen hinter sechs Schadsoftware-Familien, teilen das deutsche Bundeskriminalamt und Europol mit:

  • «IcedID», auf Englisch ein «Remote Access Trojan» (RAT), also eine Schadsoftware, die heimlichen Zugriff auf fremde System ermöglicht, sie wurde erstmals 2017 in freier Wildbahn gesichtet. Ursprünglich wurden damit E-Banking-User attackiert.
  • «SystemBC», eine erstmals 2018 gesichtete Proxy-Malware, ermöglicht es Cyberkriminellen, einen kompromittierten Computer (Host) fernzusteuern und zusätzliche Nutzerdaten zu stehlen.
  • «Bumblebee», ein Malware-Loader, entdeckt 2022, soll von der Ransomware-Bande Conti entwickelt worden sein. Das Trickbot-Cybercrime-Syndikat soll ihn bei Cyberattacken als Ersatz für die berüchtigte BazarLoader-Malware eingesetzt haben.
  • «Smokeloader» ist die Bezeichnung für eine Gruppe von Trojanern, die sich nahezu perfekt tarnt in fremden Systemen und mit denen auch andere Malware auf infizierten Rechnern gelöscht werden konnte. Die Ursprünge reichen bis ins Jahr 2011 zurück.
  • «Pikabot» ist ein relativ neuer Trojaner, der Anfang 2023 auftauchte, es handelt sich um den Nachfolger des berüchtigter QakBot-Trojaner (QBot), der auch von Ransomware-Banden verwendet wurde.
  • «Trickbot» war ursprünglich ein Bank-Trojaner für Windows-Systeme, der 2016 erstmals beobachtet wurde. Die mutmasslich russischen Entwickler machten daraus eine modulare Schadsoftware, die diverse Angriffsmöglichkeiten bietet. Damit lassen sich von infizierten System etwa wertvolle Daten stehlen und Verschlüsselungsattacken starten.

Diese Schadsoftware werde mit mindestens 15 Ransomware-Gruppierungen in Verbindung gebracht.

Dieses Teaser-Video der Polizei verheisst für die Täter nichts Gutes:

Video: watson

Wer sind die Täter?

Bei den von deutschen Behörden koordinierten Massnahmen sind den Angaben zufolge zehn internationale Haftbefehle erlassen und vier Menschen vorläufig festgenommen worden. Gegen insgesamt acht Akteure seien von Deutschland Haftbefehle erlassen worden.

Auf dieser Grundlage werde nach sieben Personen gefahndet, die im dringenden Verdacht stünden, «sich als Mitglied an einer kriminellen Vereinigung zum Zwecke der Verbreitung der Schadsoftware Trickbot beteiligt zu haben», teilten die Ermittler weiter mit.

Sie sollen für Trickbot und Co. verantwortlich sein:

Fahndungsaufruf des BKA zur Operation Endgame.
Auf der BKA-Website ist ein Fahndungsaufruf für diese acht Russen veröffentlicht worden.Screenshot: bka.de

Bei dem Einsatz am Dienstag und Mittwoch gab es den Angaben zufolge Durchsuchungen in insgesamt 16 Objekten in Armenien, den Niederlanden, Portugal und der Ukraine, bei denen zahlreiche Beweismittel sichergestellt worden seien. Die dabei sichergestellten Daten würden derzeit ausgewertet und könnten zu weiteren Ermittlungen führen.

Wie wichtig ist das?

Die Auswirkungen der Operation Endgame sind noch nicht absehbar. Es handelt sich um einen massiven Schlag gegen kriminelle Banden, von denen viele Hintermänner aus Osteuropa und Russland stammen. Betroffen sind auch die gefährlichsten Ransomware-Gruppen, die weltweit Milliardenschäden anrichten.

«Mit der bislang grössten internationalen Cyber-Polizeioperation ist den Strafverfolgungsbehörden ein bedeutender Schlag gegen die Cybercrime-Szene gelungen», sagte BKA-Vizepräsidentin Martina Link. «Der aktuelle Erfolg stützt sich auf Massnahmen gegen Infrastrukturen, Akteure und ihre Finanzmittel.»

Nur mit gemeinsamen Massnahmen wie der Beschlagnahme krimineller IT-Infrastruktur und der Abschöpfung kriminell erlangter Finanzmittel könne man «die Verantwortlichen von global tätigen Schadsoftware-Gruppierungen» effektiv verfolgen, wird Oberstaatsanwalt Benjamin Krause von der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) bei der Generalstaatsanwaltschaft Frankfurt am Main zitiert.

Wer ist an der Operation Endgame beteiligt?

An der Aktion waren demnach Strafverfolger aus den Niederlanden, Frankreich, Dänemark, Grossbritannien, Österreich sowie den USA beteiligt. Unterstützt wurden sie von der europäischen Polizeibehörde Europol und der Agentur der Europäischen Union für justizielle Zusammenarbeit in Strafsachen (Eurojust).

Im Rahmen internationaler Rechtshilfe hätten sich auch die portugiesischen, ukrainischen, schweizerischen, litauischen, rumänischen, bulgarischen sowie armenischen Strafverfolgungsbehörden beteiligt.

Quellen

(dsc/sda)

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.
Die gefährlichsten Ransomware-Banden der Welt
1 / 22
Die gefährlichsten Ransomware-Banden der Welt
In dieser Bildstrecke lernst du einige der gefährlichsten Ransomware-Banden kennen, die häufig mithilfe von kriminellen Geschäftspartnern und praktisch überall in Europa und Nordamerika zuschlagen.
quelle: shutterstock
Auf Facebook teilenAuf X teilen
Sie sind vermögend, wohnen am Zürichsee und wollen keinen Uferweg auf ihrem Grundstück
Video: watson
Das könnte dich auch noch interessieren:
Hast du technische Probleme?
Wir sind nur eine E-Mail entfernt. Schreib uns dein Problem einfach auf support@watson.ch und wir melden uns schnellstmöglich bei dir.
38 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
c-bra
30.05.2024 08:45registriert April 2016
Endlich keine Spams mehr!

Das muss ich gleich meinem neuen E-Mail Freund erzählen, einem Prinzen aus dem Sudan. Ein sehr interessanter Mensch, der mich bald in der Schweiz besuchen möchte. Leider hat er ein Problem mit dem Visaantrag, weil irgendwas mit der Zahlung nicht funktioniert. Mit meiner Hilfe wird das aber bald klappen! 🥳
957
Melden
Zum Kommentar
avatar
HKD
30.05.2024 08:24registriert November 2022
Ist das jetzt wie einen Eisberg aufgetaut oder eher nur die Spitze dessen?
Mir fehlt diesbezüglich eine Einordnung, respektive einen Grössenvergleich.
490
Melden
Zum Kommentar
avatar
Bürgerliche wollen nur Steuergeschenke für Reich
30.05.2024 08:07registriert Mai 2015
Super!
Ist das der Grund, weswegen ich heute morgen weniger Spam-Mails erhalten habe? Kein Witz.
393
Melden
Zum Kommentar
38
«Missbrauch und Scheitern der Justiz»: Die Reaktionen auf Hunter Bidens Begnadigung

Die überraschende Begnadigung seines Sohnes Hunter durch den scheidenden US-Präsidenten Joe Biden hat unterschiedliche Reaktionen ausgelöst – von verhaltenem Verständnis bis hin zu scharfer Kritik. Der Demokrat, der zuvor mehrfach betont hatte, diesen Schritt nicht gehen zu wollen, nutzte wenige Wochen vor dem Ende seiner Amtszeit seine präsidiale Macht, um die Verfahren gegen seinen Sohn zu beenden.

Zur Story