BKA: Bundeskriminalamt und internationalen Partnern gelingt bisher größter Schlag gegen weltweite Cybercrime

BKA: Bundeskriminalamt und internationalen Partnern gelingt bisher größter Schlag gegen weltweite Cybercrime

Zehn inter­na­tio­na­le Haft­be­feh­le und vier vor­läu­fi­ge Fest­nah­men ++ Deutsch­land initi­iert und koor­di­niert “Take­downs” der gefähr­lichs­ten Schadsoftware-Familien

Die Gene­ral­staats­an­walt­schaft Frank­furt am Main – Zen­tral­stel­le zur Bekämp­fung der Inter­net­kri­mi­na­li­tät (ZIT) – und das Bun­des­kri­mi­nal­amt (BKA) haben am 28. und 29.05.2024 in einer inter­na­tio­nal abge­stimm­ten Akti­on gemein­sam mit Straf­ver­fol­gungs­be­hör­den aus den Nie­der­lan­den, Frank­reich, Däne­mark, Groß­bri­tan­ni­en, Öster­reich sowie den USA, unter­stützt durch Euro­pol und Euro­just, meh­re­re der der­zeit ein­fluss­reichs­ten Schad­soft­ware-Fami­li­en vom Netz genom­men. An den Maß­nah­men waren im Rah­men der Inter­na­tio­na­len Rechts­hil­fe zudem die por­tu­gie­si­schen, ukrai­ni­schen, schwei­ze­ri­schen, litaui­schen, rumä­ni­schen, bul­ga­ri­schen sowie arme­ni­schen Straf­ver­fol­gungs­be­hör­den beteiligt.

Bei den maß­geb­lich durch die ZIT und das BKA koor­di­nier­ten Maß­nah­men im Zuge der inter­na­tio­na­len Ope­ra­ti­on “End­ga­me” wur­den welt­weit über 100 Ser­ver beschlag­nahmt sowie über 1.300 kri­mi­nell genutz­te Domains unschäd­lich gemacht. Gegen einen iden­ti­fi­zier­ten Betrei­ber und Admi­nis­tra­tor wur­de ein Ver­mö­gens­ar­rest in Höhe von 69 Mil­lio­nen Euro erwirkt. Zudem wur­den 99 Kryp­to-Wal­lets mit einem aktu­el­len Gesamt­vo­lu­men in Höhe von mehr als 70 Mil­lio­nen Euro bei zahl­rei­chen Kryp­to­bör­sen gesperrt. Wei­ter­hin wur­den 10 inter­na­tio­na­le Haft-befeh­le erlas­sen und vier Per­so­nen vor­läu­fig fest­ge­nom­men. Im Rah­men der Gesamt­maß­nah­men fan­den Durch­su­chun­gen an ins­ge­samt 16 Objek­ten in Arme­ni­en, den Nie­der­lan­den, Por­tu­gal und der Ukrai­ne statt, bei denen zahl­rei­che Beweis­mit­tel sicher­ge­stellt wor­den sind. Die bei der Ope­ra­ti­on End­ga­me sicher­ge­stell­ten Daten wer­den der­zeit aus­ge­wer­tet und kön­nen zu Anschluss­ermitt­lun­gen führen.

Den “Take­downs” gin­gen lang­wie­ri­ge und auf­wän­di­ge Ermitt­lun­gen in den betei­lig­ten Staa­ten vor­aus. In Deutsch­land wer­den die Ermitt­lun­gen u. a. wegen Ver­dachts der ban­den- und gewerbs­mä­ßi­gen Erpres­sung sowie der Mit­glied­schaft in einer kri­mi­nel­len Ver­ei­ni­gung im Aus­land geführt.

Ziel der inter­na­tio­na­len Ope­ra­ti­on End­ga­me ist die nach­hal­ti­ge Bekämp­fung der welt­wei­ten Cyber­crime, indem nicht nur gegen ein­zel­ne Schad­soft­ware-Fami­li­en vor­ge­gan­gen wird, son­dern Maß­nah­men gegen die täter­sei­tig genutz­te tech­ni­sche und finan­zi­el­le Infra­struk­tur und gegen die Akteu­re gleich meh­re­rer sol­cher teil­wei­se kol­la­bo­rie­ren­der Täter­grup­pen gebün­delt werden.

Die aktu­el­len Maß­nah­men rich­te­ten sich in ers­ter Linie gegen die Grup­pie­run­gen hin­ter den sechs Schad­soft­ware-Fami­li­en Ice­dID, Sys­temBC, Bum­ble­bee, Smo­kel­oa­der, Pika­bot und Trick­bot, die als soge­nann­te “Drop­per” mit min­des­tens 15 Ran­som­wa­re-Grup­pie­run­gen in Ver­bin­dung stan­den. Drop­per sind Schad­soft­ware-Vari­an­ten (soge­nann­te Mal­wa­re), die zur Erst­in­fek­ti­on genutzt wer­den und Cyber­kri­mi­nel­len als Tür­öff­ner die­nen, um unbe­merkt Opfer­sys­te­me zu infi­zie­ren und dann wei­te­re Schad­soft­ware nach­zu­la­den. Dies geschieht etwa mit dem Ziel, per­sön­li­che Daten wie Nut­zer­na­men und Pass­wör­ter abzu­grei­fen oder infi­zier­te Sys­te­me bezie­hungs­wei­se dadurch betrof­fe­ne Netz­wer­ke im Fall von Ran­som­wa­re in erpres­se­ri­scher Absicht zu verschlüsseln.

Der aus deut­scher Sicht gefähr­lichs­te Drop­per war die Schad­soft­ware Smo­kel­oa­der, die bereits seit über zehn Jah­ren exis­tier­te und sich fort­lau­fend wei­ter­ent­wi­ckel­te. Bei den inter­na­tio­na­len Maß­nah­men wur­de die tech­ni­sche Infra­struk­tur von Smo­kel­oa­der sowie fünf wei­te­rer Drop­per­diens­te beschlag­nahmt und deren Kon­trol­le von den Straf­ver­fol­gungs­be­hör­den über­nom­men. Damit wur­de den Tätern der Zugriff auf tau­sen­de Opfer­sys­te­me ent­zo­gen. Allein das Bot­netz von Smo­kel­oa­der umfass­te im Ver­lauf des ver­gan­ge­nen Jah­res meh­re­re hun­dert­tau­send Sys­te­me. Für die Benach­rich­ti­gung der Opfer einer Bot­netz-Infek­ti­on ist das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) zuständig.

Gegen ins­ge­samt acht Akteu­re wur­den von Deutsch­land Haft­be­feh­le erlas­sen. Auf die­ser Grund­la­ge fahn­den BKA und ZIT gemein­sam nach sie­ben iden­ti­fi­zier­ten Per­so­nen, die im drin­gen­den Ver­dacht ste­hen, sich als Mit­glied an einer kri­mi­nel­len Ver­ei­ni­gung zum Zwe­cke der Ver­brei­tung der Schad­soft­ware Trick­bot betei­ligt zu haben. Zudem wird nach einem wei­te­ren Beschul­dig­ten gefahn­det, der drin­gend ver­däch­tig ist, einer der Rädels­füh­rer der Grup­pie­rung hin­ter der Schad­soft­ware Smo­kel­oa­der zu sein. Licht­bil­der und Beschrei­bun­gen der Beschul­dig­ten kön­nen über fol­gen­den Link auf der BKA-Web­sei­te abge­ru­fen werden:

www​.bka​.de/​e​n​d​g​a​m​e​_​f​a​h​n​d​ung

BKA-Vize­prä­si­den­tin Mar­ti­na Link:

“Mit der bis­lang größ­ten inter­na­tio­na­len Cyber-Poli­zei­ope­ra­ti­on ist den Straf­ver­fol­gungs­be­hör­den ein bedeu­ten­der Schlag gegen die Cyber­crime-Sze­ne gelun­gen. Der aktu­el­le Erfolg stützt sich auf Maß­nah­men gegen Infra­struk­tu­ren, Akteu­re und ihre Finanz­mit­tel und ist geeig­net, das Ver­trau­en inner­halb der Under­ground Eco­no­my zu beein­träch­ti­gen. Durch die inten­si­ve, inter­na­tio­na­le Zusam­men­ar­beit konn­ten gleich sechs der größ­ten Schad­soft­ware-Fami­li­en unschäd­lich gemacht wer­den. Wir wer­den Cyber­crime auch wei­ter­hin gemein­sam mit unse­ren natio­na­len und inter­na­tio­na­len Part­nern aktiv ent­ge­gen­wir­ken, um den Kri­mi­nel­len mög­lichst dau­er­haft ihre Arbeits­grund­la­ge zu entziehen.”

ZIT-Lei­ter Ober­staats­an­walt Dr. Ben­ja­min Krause:

“Die inter­na­tio­na­le Koope­ra­ti­on der Straf­ver­fol­gungs­be­hör­den zur Bekämp­fung von Cyber­crime funk­tio­niert und wird stän­dig fort­ent­wi­ckelt. Denn nur mit gemein­sa­men Maß­nah­men wie der Beschlag­nah­me kri­mi­nel­ler IT-Infra­struk­tur und der Abschöp­fung kri­mi­nell erlang­ter Finanz­mit­tel kön­nen die Ver­ant­wort­li­chen von glo­bal täti­gen Schad­soft­ware-Grup­pie­run­gen effek­tiv ver­folgt werden.”

Um der Cyber­kri­mi­na­li­tät nach­hal­tig zu begeg­nen, sind per­so­nel­le Ermitt­lun­gen, also die Iden­ti­fi­zie­rung und erfolg­rei­che Ver­fol­gung von Straf­tä­tern, ein wich­ti­ger und effek­ti­ver Ansatz. Da sich Cyber­kri­mi­nel­le jedoch oft­mals im Aus­land auf­hal­ten und von eini­gen Län­dern gedul­det oder sogar geschützt wer­den, blei­ben sie für die deut­schen Straf­ver­fol­gung oft­mals unerreichbar.

Daher sind die Maß­nah­men der deut­schen Straf­ver­fol­gungs­be­hör­den eben­falls dar­auf aus­ge­rich­tet, die Infra­struk­tur der Cyber­kri­mi­nel­len zu schwä­chen und zu zer­schla­gen. Durch die­sen Infra­struk­tur­an­satz konn­ten der Under­ground Eco­no­my in jüngs­ter Ver­gan­gen­heit teils beträcht­li­che Finanz­mit­tel ent­zo­gen wer­den. Außer­dem wur­den IT-Sys­te­me und Daten sicher­ge­stellt, die zu wei­te­ren Ermitt­lungs­an­sät­zen geführt haben.

So ist es 2023 etwa gelun­gen, die Ser­ver­in­fra­struk­tur des welt­weit umsatz­stärks­ten Kryp­to-Mixers im Dark­net, Chip­Mi­xer, zu beschlag­nah­men und umge­rech­net rund 90 Mil­lio­nen Euro sicher­zu­stel­len Dar­über hin­aus wur­de die Infra­struk­tur meh­re­rer kri­mi­nel­ler Markt­plät­ze beschlag­nahmt – dar­un­ter King­dom Mar­ket. Zudem konn­te die Schad­soft­ware Qak­bot in 2023 und Emo­tet in 2021 vom Netz genom­men wer­den. Bei­de zähl­ten zu den Top-Bedro­hun­gen aus dem Cyber­raum und ver­ur­sach­ten welt­weit Schä­den in Höhe von meh­re­ren hun­dert Mil­lio­nen Euro.

__________________________________

Bild: Sicherstellungsbanner.

Quel­le: BKA
Foto­credits: BKA