Größte jemals durchgeführte Operation gegen Botnets trifft Dropper Malware Ökosystem

Internationale Operation legt Droppers wie IcedID, SystemBC, Pikabot, Smokeloader und Bumblebee lahm und führt zu vier Verhaftungen und der Abschaltung von über 100 Servern weltweit.

Größte jemals durchgeführte Operation gegen Botnets trifft Dropper Malware Ökosystem
Größte jemals durchgeführte Operation gegen Botnets trifft Dropper Malware Ökosystem. AI generated picture by ©onlinemarktplatz.de

Zwischen dem 27. und 29. Mai 2024 fand die Operation Endgame statt, die von der Europol-Zentrale koordiniert wurde und sich gegen Droppers wie IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee und Trickbot richtete. Die Aktionen konzentrierten sich auf die Zerschlagung krimineller Dienste durch die Verhaftung von High Value Targets, die Abschaltung der kriminellen Infrastrukturen und das Einfrieren illegaler Einnahmen. Dieser Ansatz hatte weltweit Auswirkungen auf das Dropper-Ökosystem.

Die Malware, deren Infrastruktur während der Aktionstage lahmgelegt wurde, ermöglichte Angriffe mit Ransomware und anderer bösartiger Software. Nach den Aktionstagen werden acht Flüchtige, die mit diesen kriminellen Aktivitäten in Verbindung stehen und von Deutschland gesucht werden, am 30. Mai 2024 auf die Liste der meistgesuchten Verbrecher Europas gesetzt. Die Personen werden wegen ihrer Beteiligung an schwerwiegenden Cyberkriminalitätsaktivitäten gesucht.

Die größte jemals durchgeführte Operation gegen Botnets

Die Operation, die von Frankreich, Deutschland und den Niederlanden initiiert und geleitet wurde, erhielt auch Unterstützung von Eurojust und umfasste Dänemark, das Vereinigte Königreich und die Vereinigten Staaten. Zudem unterstützten Armenien, Bulgarien, Litauen, Portugal, Rumänien, die Schweiz und die Ukraine die Operation durch verschiedene Maßnahmen wie Verhaftungen, Verhöre von Verdächtigen, Durchsuchungen und die Abschaltung von Servern und Domains. Die Operation wurde außerdem von zahlreichen privaten Partnern auf nationaler und internationaler Ebene unterstützt, darunter Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus und DIVD.

Ergebnisse der koordinierten Aktionen

Die koordinierten Aktionen führten zu:

  • 4 Verhaftungen (1 in Armenien und 3 in der Ukraine)
  • 16 Durchsuchungen (1 in Armenien, 1 in den Niederlanden, 3 in Portugal und 11 in der Ukraine)
  • Über 100 abgeschaltete oder gestörte Server in Bulgarien, Kanada, Deutschland, Litauen, den Niederlanden, Rumänien, der Schweiz, dem Vereinigten Königreich, den Vereinigten Staaten und der Ukraine
  • Über 2.000 von Strafverfolgungsbehörden kontrollierte Domains

Darüber hinaus wurde durch die bisherigen Ermittlungen festgestellt, dass einer der Hauptverdächtigen mindestens 69 Millionen Euro in Kryptowährungen durch die Vermietung krimineller Infrastrukturseiten zur Bereitstellung von Ransomware verdient hat. Die Transaktionen des Verdächtigen werden ständig überwacht und eine rechtliche Erlaubnis zur Beschlagnahmung dieser Vermögenswerte bei zukünftigen Maßnahmen wurde bereits erteilt.

Was ist ein Dropper und wie funktioniert er?

Malware-Dropper sind eine Art von bösartiger Software, die darauf ausgelegt ist, andere Malware auf ein Zielsystem zu installieren. Sie werden in der ersten Phase eines Malware-Angriffs verwendet, in der sie es Kriminellen ermöglichen, Sicherheitsmaßnahmen zu umgehen und zusätzliche schädliche Programme wie Viren, Ransomware oder Spyware zu installieren. Dropper selbst verursachen in der Regel keinen direkten Schaden, sind jedoch entscheidend für den Zugriff auf und die Implementierung von schädlicher Software auf den betroffenen Systemen.

  • SystemBC erleichterte die anonyme Kommunikation zwischen einem infizierten System und einem Kommando- und Kontrollserver.
  • Bumblebee, hauptsächlich über Phishing-Kampagnen oder kompromittierte Websites verbreitet, war darauf ausgelegt, die Bereitstellung und Ausführung weiterer Nutzlasten auf kompromittierten Systemen zu ermöglichen.
  • SmokeLoader wurde hauptsächlich als Downloader verwendet, um zusätzliche bösartige Software auf den infizierten Systemen zu installieren.
  • IcedID (auch bekannt als BokBot), ursprünglich als Banking-Trojaner kategorisiert, wurde weiterentwickelt, um andere Cyberverbrechen zusätzlich zum Diebstahl von Finanzdaten zu unterstützen.
  • Pikabot ist ein Trojaner, der verwendet wird, um anfänglich Zugang zu infizierten Computern zu erhalten, was Ransomware-Bereitstellungen, Fernsteuerung von Computern und Datendiebstahl ermöglicht.

Phasen der Dropper-Operation

  1. Infiltration: Dropper können Systeme über verschiedene Kanäle infiltrieren, wie z.B. E-Mail-Anhänge oder kompromittierte Websites. Sie können auch mit legitimer Software gebündelt sein.
  2. Ausführung: Nach der Ausführung installiert der Dropper die zusätzliche Malware auf dem Computer des Opfers. Diese Installation erfolgt oft ohne das Wissen oder die Zustimmung des Benutzers.
  3. Ausweichen: Dropper sind so konzipiert, dass sie der Erkennung durch Sicherheitssoftware entgehen. Sie können Methoden wie die Verschleierung ihres Codes, das Ausführen im Speicher ohne Speicherung auf der Festplatte oder das Vortäuschen legitimer Softwareprozesse verwenden.
  4. Nutzlastbereitstellung: Nach der Bereitstellung der zusätzlichen Malware kann der Dropper entweder inaktiv bleiben oder sich selbst entfernen, um einer Erkennung zu entgehen und die Nutzlast die vorgesehenen bösartigen Aktivitäten ausführen zu lassen.

Endgame endet hier nicht

Die Operation Endgame endet nicht heute. Neue Maßnahmen werden auf der Website der Operation Endgame angekündigt. Darüber hinaus werden Verdächtige, die an diesen und anderen Botnets beteiligt sind und noch nicht verhaftet wurden, direkt zur Rechenschaft gezogen. Verdächtige und Zeugen finden Informationen darüber, wie sie sich über diese Website melden können.

Kommandozentrale bei Europol zur Koordination der operativen Maßnahmen

Europol erleichterte den Informationsaustausch und stellte analytische, Krypto-Verfolgungs- und forensische Unterstützung für die Untersuchung bereit. Zur Unterstützung der Koordination der Operation organisierte Europol mehr als 50 Koordinationsgespräche mit allen beteiligten Ländern sowie einen operativen Sprint an seinem Hauptsitz.

Über 20 Strafverfolgungsbeamte aus Dänemark, Frankreich, Deutschland und den Vereinigten Staaten unterstützten die Koordination der operativen Maßnahmen aus der Kommandozentrale bei Europol, und Hunderte anderer Beamter aus den verschiedenen beteiligten Ländern nahmen an den Aktionen teil. Darüber hinaus ermöglichte ein virtuelles Kommandozentrum die Echtzeitkoordination zwischen den in Armenien, Frankreich, Portugal und der Ukraine eingesetzten Beamten während der Feldaktivitäten.

Das Kommandozentrum ermöglichte den Austausch von Informationen über beschlagnahmte Server, Verdächtige und den Transfer von beschlagnahmten Daten. Lokale Kommandozentren wurden auch in Deutschland, den Niederlanden, Portugal, den Vereinigten Staaten und der Ukraine eingerichtet. Eurojust unterstützte die Aktion durch die Einrichtung eines Koordinierungszentrums an seinem Hauptsitz, um die justizielle Zusammenarbeit zwischen allen beteiligten Behörden zu erleichtern. Eurojust unterstützte auch bei der Durchführung von Europäischen Haftbefehlen und Europäischen Ermittlungsanordnungen.

Nationale Behörden im Zentrum der Operation Endgame

EU-Mitgliedstaaten:

  • Dänemark: Dänische Polizei (Politi)
  • Frankreich: Nationale Gendarmerie (Gendarmerie Nationale) und Nationale Polizei (Police Nationale); Staatsanwaltschaft JUNALCO (Nationale Gerichtsbarkeit gegen Organisierte Kriminalität) Cybercrime-Einheit; Pariser Kriminalpolizei (Préfecture De Police de Paris)
  • Deutschland: Bundeskriminalamt (BKA), Generalstaatsanwaltschaft Frankfurt am Main – Cyber Crime Center
  • Niederlande: Nationale Polizei (Politie), Staatsanwaltschaft (Openbaar Ministerie)

Nicht-EU-Mitgliedstaaten:

  • Vereinigtes Königreich: Nationale Kriminalbehörde (National Crime Agency)
  • Vereinigte Staaten: Bundeskriminalamt (FBI), United States Secret Service, Die Verteidigungsstrafuntersuchungsdienst (Defence Criminal Investigative Service), Justizministerium der Vereinigten Staaten (US Department of Justice)
Frank