Es war laut Europol der größte, erfolgreiche Einsatz gegen Botnetze aller Zeiten: Eine internationale Operation hat Dropper wie TrickBot, IcedID, SystemBC, Pikabot, Smokeloader und Bumblebee abgeschaltet, was der Abschaltung von über 100 Servern weltweit und zur Beschlagnahmung von über 2.000 Domains führte. Damit hat die Verteilung von Ransomware & Co einen schweren Schlag erlitten.
Zwischen dem 27. und 29. Mai 2024 zielte die vom Europol-Hauptquartier koordinierte Operation Endgame auf Dropper wie IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee und besonders Trickbot. Die Maßnahmen konzentrierten sich auf die Zerschlagung krimineller Dienste durch die Festnahme hochwertiger Zielpersonen, die Zerstörung krimineller Infrastrukturen und das Einfrieren von Vermögen.
Globale Auswirkungen auf Dropper-Ökosystem
Dieser Ansatz hatte globale Auswirkungen auf das Dropper-Ökosystem. Die Malware, deren Infrastruktur während der Aktionstage lahmgelegt wurde, ermöglichte Angriffe mit Ransomware und anderer Schadsoftware. Im Anschluss an die Aktionstage werden am 30. Mai 2024 acht von Deutschland gesuchte Flüchtige im Zusammenhang mit diesen kriminellen Aktivitäten in Europas meistgesuchte Liste aufgenommen. Gesucht werden die Personen wegen ihrer Beteiligung an schweren Cybercrime-Aktivitäten.
Dabei handelt es sich um den bislang größten Einsatz gegen Botnets, die bei der Verbreitung von Ransomware eine wichtige Rolle spielen. Die von Frankreich, Deutschland und den Niederlanden initiierte und geleitete Operation wurde auch von Eurojust unterstützt und umfasste Dänemark, das Vereinigte Königreich und die Vereinigten Staaten.
Darüber hinaus unterstützten auch Armenien, Bulgarien, Litauen, Portugal, Rumänien, die Schweiz und die Ukraine die Operation mit verschiedenen Aktionen, wie Festnahmen, Befragungen von Verdächtigen, Durchsuchungen sowie Beschlagnahmungen oder Abschaltungen von Servern und Domains. Die Operation wurde auch von einer Reihe privater Partner auf nationaler und internationaler Ebene unterstützt, darunter Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus, DIVD, Missbrauch. ch und Zscaler.
Die koordinierten Maßnahmen führten zu
- 4 Festnahmen (1 in Armenien und 3 in der Ukraine)
- 16 Standortsuchen (1 in Armenien, 1 in den Niederlanden, 3 in Portugal und 11 in der Ukraine)
- Über 100 Server wurden in Bulgarien, Kanada, Deutschland, Litauen, den Niederlanden, Rumänien, der Schweiz, dem Vereinigten Königreich, den Vereinigten Staaten und der Ukraine heruntergefahren oder unterbrochen
- Über 2.000 Domains stehen unter der Kontrolle der Strafverfolgungsbehörden
- Darüber hinaus wurde durch die bisherigen Ermittlungen festgestellt, dass einer der Hauptverdächtigen durch die Vermietung krimineller Infrastrukturstandorte zum Einsatz von Ransomware mindestens 69 Millionen Euro an Kryptowährung verdient hat. Die Transaktionen des Verdächtigen werden ständig überwacht und die rechtliche Genehmigung zur Beschlagnahmung dieser Vermögenswerte bei künftigen Maßnahmen wurde bereits eingeholt.
Dropper – die Vorstufe für Ransomware & Co
Malware-Dropper sind eine Schadsoftware, die dazu dient, andere Malware auf einem Zielsystem zu installieren. Sie werden in der ersten Phase eines Malware-Angriffs eingesetzt und ermöglichen es Kriminellen, Sicherheitsmaßnahmen zu umgehen und zusätzliche schädliche Programme wie Viren, Ransomware oder Spyware einzusetzen. Dropper selbst verursachen in der Regel keinen direkten Schaden, sind jedoch für den Zugriff auf und die Implementierung schädlicher Software auf den betroffenen Systemen von entscheidender Bedeutung.
SystemBC ermöglichte die anonyme Kommunikation zwischen einem infizierten System und einem Command-and-Control-Server. Bumblebee, das hauptsächlich über Phishing-Kampagnen oder kompromittierte Websites verbreitet wird, wurde entwickelt, um die Bereitstellung und Ausführung weiterer Nutzlasten auf kompromittierten Systemen zu ermöglichen.
SmokeLoader wurde hauptsächlich als Downloader verwendet, um zusätzliche Schadsoftware auf den infizierten Systemen zu installieren. IcedID (auch bekannt als BokBot), ursprünglich als Banktrojaner eingestuft, wurde weiterentwickelt, um neben dem Diebstahl von Finanzdaten auch anderen Cyberkriminalität zu dienen.
Pikabot ist ein Trojaner, der den Erstzugriff auf infizierte Computer ermöglicht und Ransomware-Einsätze, Computerübernahmen aus der Ferne und Datendiebstahl ermöglicht. Sie alle werden mittlerweile zum Einsatz von Ransomware genutzt und gelten als Hauptbedrohung in der Infektionskette.
So gehen Dropper vor
Infiltration: Dropper können über verschiedene Kanäle in Systeme eindringen, z. B. über E-Mail-Anhänge oder kompromittierte Websites. Sie können auch mit legitimer Software gebündelt werden.
Ausführung: Nach der Ausführung installiert der Dropper die zusätzliche Malware auf dem Computer des Opfers. Diese Installation erfolgt häufig ohne Wissen oder Zustimmung des Benutzers.
Umgehung: Dropper sollen die Erkennung durch Sicherheitssoftware verhindern. Sie verwenden möglicherweise Methoden wie die Verschleierung ihres Codes, die Ausführung im Speicher ohne Speicherung auf der Festplatte oder die Nachahmung legitimer Softwareprozesse.
Payload-Lieferung: Nach der Bereitstellung der zusätzlichen Malware kann der Dropper entweder inaktiv bleiben oder sich selbst entfernen, um einer Erkennung zu entgehen, sodass die Payload die beabsichtigten bösartigen Aktivitäten ausführen kann.
Operation Endgame noch nicht beendet
Laut Europol endet Operation Endgame nicht mit den letzten Schritten. Neue Aktionen werden auf der Website Operation Endgame angekündigt . Darüber hinaus werden Verdächtige, die an diesen und anderen Botnets beteiligt sind und noch nicht festgenommen wurden, direkt für ihre Taten zur Rechenschaft gezogen. Verdächtige und Zeugen sind aufgerufen mit Europol Kontakt aufzunehmen.
Mehr bei Europol.Europa.eu