|
Wiesbaden (ots) - Rund 15.000 Webseiten, über 320 Server und mehr als 140
Domains unschädlich gemacht +++ Ca. 27 Millionen Opferdaten sichergestellt +++
Erfolgreiche Zusammenarbeit mit Kooperationspartnern aus der Privatindustrie
Die Generalstaatsanwaltschaft Frankfurt am Main - Zentralstelle zur Bekämpfung
der Internetkriminalität (ZIT) - und das Bundeskriminalamt (BKA) sind in einer
international abgestimmten Aktion im Zeitraum vom 15.06. bis 19.06.2026
gemeinsam mit Strafverfolgungsbehörden aus den Niederlanden, Dänemark,
Großbritannien, USA und Kanada sowie mit Unterstützung durch Europol, Eurojust,
das US-Softwareunternehmen Microsoft und weitere internationale
IT-Sicherheitsdienstleister erfolgreich gegen drei der weltweit gefährlichsten
Schadsoftware-Varianten ("SocGholish", "StealC" und "Amadey") vorgegangen.
Der Fokus der Maßnahmen lag auf der nachhaltigen Zerschlagung der jeweiligen
technischen Infrastrukturen. So haben die internationalen
Strafverfolgungsbehörden in enger Kooperation mit Microsoft insgesamt rund
15.000 Webseiten, über 320 Server, davon 40 in Deutschland, und mehr als 140
Domains, die täterseitig genutzt wurden, unschädlich gemacht. In diesem
Zusammenhang wurden auch ca. 27 Millionen Zugangsdaten von über 385.000 Opfern
sichergestellt, zu denen die Prüfung der individuellen Betroffenheit über
öffentlich zugängliche Informationsplattformen möglich ist. Zusätzlich
unterstützt das Bundesamt für Sicherheit in der Informationstechnik (BSI) bei
der Benachrichtigung von Betroffenen in Deutschland. Darüber hinaus wurde
Kryptovermögen kriminellen Ursprungs von derzeit über 47 Millionen US-Dollar
identifiziert, gekennzeichnet und dadurch in der Nutzung eingeschränkt.
In Deutschland werden die Ermittlungen unter anderem wegen des Verdachts der
banden- und gewerbsmäßigen Erpressung sowie der Erpressung im besonders schweren
Fall geführt. Die Maßnahmen nehmen den Tätern zentrale Werkzeuge aus der Hand,
unterbrechen die virtuelle Infektionskette und schützen viele weitere
potentielle Opfer vor diesen Schadsoftware-Varianten. Mit der Operation wurde
ein wesentlicher Baustein des kriminellen Wertschöpfungsprozesses der vernetzten
und arbeitsteiligen Strukturen im Bereich Cybercrime geschwächt.
Carsten Meywirth, Leiter der Abteilung Cybercrime im BKA: "Mit der Fortsetzung
der Operation Endgame sind wir erneut gegen die technischen Infrastrukturen
vorgegangen, auf die sich zahlreiche Cyberkriminelle weltweit verlassen haben.
Dadurch wurde auch die Erstinfektion einer Vielzahl weltweiter Opfersysteme
unterbunden. Das zeigt, dass die internationalen Strafverfolgungsbehörden
Cybercrime grenzüberschreitend alle rechtlichen Mittel entgegensetzen, auch in
enger Zusammenarbeit mit dem Privatsektor."
Dr. Benjamin Krause, Leitender Oberstaatsanwalt und Pressesprecher der ZIT: "Die
Operation Endgame ist das Paradebeispiel der internationalen Kooperation von
Strafverfolgungsbehörden und privaten Organisationen im gemeinsamen Kampf gegen
Cybercrime. Wie die Kriminellen arbeiten auch wir arbeitsteilig und
international vernetzt, um schlagkräftig zu sein. Der Unterschied ist: Wir
stehen auf der guten Seite."
Geschäftsmodell "Cybercrime-as-a-Service"
Die beseitigten Schadsoftware-Varianten wurden als Dienstleistung
("Cybercrime-as-a-Service") bereitgestellt und von anderen Cyberkriminellen als
Werkzeug für die Erstinfektion von Opfersystemen eingesetzt. Damit waren sie in
der Folge Ausgangspunkt für weitere Straftaten (z. B. das Nachladen von
Ransomware für digitale Erpressungen oder die missbräuchliche Nutzung von
Daten).
- Die Schadsoftware SocGholish (sog. Dropper/Loader) verschaffte
Unbefugten durch die Verteilung von vermeintlichen
Browser-Updates über kompromittierte Webseiten Zugang zu
Computersystemen. Statt des Updates führten Internetnutzer die
Schadsoftware aus. Die unbefugt erlangten Zugänge dienten fortan
als Ausgangspunkt für weitere Straftaten, insbesondere das
Nachladen von Ransomware für digitale Erpressungen.
- Die über unterschiedliche Angriffsvektoren verteilte
Schadsoftware StealC (sog. Stealer mit Dropper-Funktionalität)
war vor allem darauf spezialisiert, sensible Informationen wie
Passwörter, gespeicherte Zugangsdaten und digitale Identitäten
aus Computern von Betroffenen auszulesen und für kriminelle
Folgenutzungen, insbesondere Handel und Missbrauch der
Datenbestände, bereitzustellen.
- Die Schadsoftware Amadey (sog. Dropper/Loader) wurde vor allem
über Phishing-Kampagnen verbreitet. Sie fungierte damit als
erster Baustein einer größeren Angriffskette und war in der
Lage, weitere Schadsoftware auf Betroffenensysteme einzubringen.
Daneben verfügte die Schadsoftware über Stealer-Funktionalitäten
und konnte so auch sensible Daten abgreifen.
Strategie der Operation Endgame
Ziel der Operation Endgame ist es, die relevantesten Schadsoftware-Varianten der
Kategorie "Initial Access Malware" (sog. Dropper/Loader) unschädlich zu machen.
Schadsoftware dieser Kategorie wird zur Erstinfektion genutzt. Sie dient
Cyberkriminellen als Türöffner, um unbemerkt Opfersysteme zu infizieren und dann
weitere Schadsoftware nachzuladen. Dies geschieht beispielsweise zum Ausspähen
von Daten oder zur Verschlüsselung des Systems mit dem Ziel der Erpressung von
Lösegeld (sog. Ransomware).
Mittlerweile verfügen immer häufiger auch Varianten der Kategorie "Stealer" über
Funktionen zum Nachladen von Schadsoftware. Deren Primäraufgabe war es bislang
eigentlich, unbemerkt Opfersysteme zu infizieren, um sensible Daten und
Zugangsinformationen zu stehlen. Sie können dadurch ebenfalls zur Installation
von Ransomware verwendet werden. Daher geht die Operation Endgame seit 2025
neben Droppern und Loadern auch gezielt gegen Stealer-Schadsoftware vor.
Die Sicherheitsbehörden verfolgen die Strategie, unmittelbar am Anfang der
Angriffskette, der sogenannten "Kill Chain", anzusetzen und das gesamte
"Cybercrime-as-a-Service"-Ökosystem an der Wurzel zu schädigen. Durch gebündelte
Maßnahmen gegen die technische und finanzielle Infrastruktur der Täter und gegen
die Täter selbst soll dieses Geschäftsmodell nachhaltig zerstört werden.
Über die Webseite der internationalen polizeilichen Partner stehen fortlaufend
Informationen zur Verfügung: www.operation-endgame.com. Hier werden
entsprechende kriminelle Akteure in Form von Kurzvideos mit der Botschaft
"Operation Endgame - think about (y)our next move" direkt adressiert und darüber
hinaus potenzielle Zeugen um Hinweise gebeten.
Informationen für Opfer:
Seit Mai 2024 unterstützt das Bundesamt für Sicherheit in der
Informationstechnik (BSI) die Partner der Operation Endgame, indem es unter
anderem die Infrastruktur zur Umleitung des Datenverkehrs auf behördeneigene
Server bereitstellt und die Umleitungen koordiniert und umsetzt (sogenanntes
Sinkholing). Darüber hinaus wertet das BSI technische Asservate aus und sammelt
zielgerichtet Informationen bezüglich relevanter Schadsoftware-Varianten.
Für Deutschland hat das BSI nachhaltige Maßnahmen ergriffen, um den Zugriff
infizierter Systeme auf die Steuerungssysteme der Täter auch über deren
Abschaltung hinaus effektiv zu unterbinden. Dabei werden die Kontaktversuche der
Schadsoftware von infizierten Opfersystemen detektiert und die Betroffenen über
eine festgestellte Infektion an ihrem Internetanschluss benachrichtigt. Weitere
Informationen zum Thema Botnetze sowie Steckbriefe zu den
Schadsoftware-Varianten mit Hinweisen zur Bereinigung infizierter Systeme sind
auf der BSI-Webseite abrufbar: https://www.bsi.bund.de/dok/botnetz-provider-info
Darüber hinaus benachrichtigt das BSI betroffene Institutionen und Unternehmen
direkt über abgeflossene Zugangsdaten der Schadsoftware StealC, die im Rahmen
der Strafverfolgungsmaßnahmen erlangt wurden. Zur Art der betroffenen Daten
stellt das BSI unter https://www.bsi.bund.de/dok/StealC weitere Informationen
bereit.
Rückfragen bitte an:
Bundeskriminalamt
Pressestelle
Telefon: 0611-551 3083
Fax: 0611-551 2323
E-Mail: pressestelle@bka.bund.de
www.bka.de
Weiteres Material: http://presseportal.de/blaulicht/pm/7/6301407
OTS: Bundeskriminalamt
|
