Endgame: Europol & Co zerschlagen große Botnetze wie TrickBot

Endgame: Europol & Co zerschlagen große Botnetze wie TrickBot MS-KI

Beitrag teilen

Es war laut Europol der größte, erfolgreiche Einsatz gegen Botnetze aller Zeiten: Eine internationale Operation hat Dropper wie TrickBot, IcedID, SystemBC, Pikabot, Smokeloader und Bumblebee abgeschaltet, was der Abschaltung von über 100 Servern weltweit und zur Beschlagnahmung von über 2.000 Domains führte. Damit hat die Verteilung von Ransomware & Co einen schweren Schlag erlitten.

Zwischen dem 27. und 29. Mai 2024 zielte die vom Europol-Hauptquartier koordinierte Operation Endgame auf Dropper wie IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee und besonders Trickbot. Die Maßnahmen konzentrierten sich auf die Zerschlagung krimineller Dienste durch die Festnahme hochwertiger Zielpersonen, die Zerstörung krimineller Infrastrukturen und das Einfrieren von Vermögen.

Anzeige

Globale Auswirkungen auf Dropper-Ökosystem

🔎 Operation Endgame: Europol und andere Behörden haben zusammen Botnetze zerschlagen und das Dropper-Öksystem lahmgelegt (Bild: Europol).

Dieser Ansatz hatte globale Auswirkungen auf das Dropper-Ökosystem. Die Malware, deren Infrastruktur während der Aktionstage lahmgelegt wurde, ermöglichte Angriffe mit Ransomware und anderer Schadsoftware. Im Anschluss an die Aktionstage werden am 30. Mai 2024 acht von Deutschland gesuchte Flüchtige im Zusammenhang mit diesen kriminellen Aktivitäten in Europas meistgesuchte Liste aufgenommen. Gesucht werden die Personen wegen ihrer Beteiligung an schweren Cybercrime-Aktivitäten.

Dabei handelt es sich um den bislang größten Einsatz gegen Botnets, die bei der Verbreitung von Ransomware eine wichtige Rolle spielen. Die von Frankreich, Deutschland und den Niederlanden initiierte und geleitete Operation wurde auch von Eurojust unterstützt und umfasste Dänemark, das Vereinigte Königreich und die Vereinigten Staaten.

Darüber hinaus unterstützten auch Armenien, Bulgarien, Litauen, Portugal, Rumänien, die Schweiz und die Ukraine die Operation mit verschiedenen Aktionen, wie Festnahmen, Befragungen von Verdächtigen, Durchsuchungen sowie Beschlagnahmungen oder Abschaltungen von Servern und Domains. Die Operation wurde auch von einer Reihe privater Partner auf nationaler und internationaler Ebene unterstützt, darunter Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus, DIVD, Missbrauch. ch und Zscaler.

Die koordinierten Maßnahmen führten zu

  • 4 Festnahmen (1 in Armenien und 3 in der Ukraine)
  • 16 Standortsuchen (1 in Armenien, 1 in den Niederlanden, 3 in Portugal und 11 in der Ukraine)
  • Über 100 Server wurden in Bulgarien, Kanada, Deutschland, Litauen, den Niederlanden, Rumänien, der Schweiz, dem Vereinigten Königreich, den Vereinigten Staaten und der Ukraine heruntergefahren oder unterbrochen
  • Über 2.000 Domains stehen unter der Kontrolle der Strafverfolgungsbehörden
  • Darüber hinaus wurde durch die bisherigen Ermittlungen festgestellt, dass einer der Hauptverdächtigen durch die Vermietung krimineller Infrastrukturstandorte zum Einsatz von Ransomware mindestens 69 Millionen Euro an Kryptowährung verdient hat. Die Transaktionen des Verdächtigen werden ständig überwacht und die rechtliche Genehmigung zur Beschlagnahmung dieser Vermögenswerte bei künftigen Maßnahmen wurde bereits eingeholt.

Dropper – die Vorstufe für Ransomware & Co

Malware-Dropper sind eine Schadsoftware, die dazu dient, andere Malware auf einem Zielsystem zu installieren. Sie werden in der ersten Phase eines Malware-Angriffs eingesetzt und ermöglichen es Kriminellen, Sicherheitsmaßnahmen zu umgehen und zusätzliche schädliche Programme wie Viren, Ransomware oder Spyware einzusetzen. Dropper selbst verursachen in der Regel keinen direkten Schaden, sind jedoch für den Zugriff auf und die Implementierung schädlicher Software auf den betroffenen Systemen von entscheidender Bedeutung.

SystemBC ermöglichte die anonyme Kommunikation zwischen einem infizierten System und einem Command-and-Control-Server. Bumblebee, das hauptsächlich über Phishing-Kampagnen oder kompromittierte Websites verbreitet wird, wurde entwickelt, um die Bereitstellung und Ausführung weiterer Nutzlasten auf kompromittierten Systemen zu ermöglichen.

SmokeLoader wurde hauptsächlich als Downloader verwendet, um zusätzliche Schadsoftware auf den infizierten Systemen zu installieren. IcedID (auch bekannt als BokBot), ursprünglich als Banktrojaner eingestuft, wurde weiterentwickelt, um neben dem Diebstahl von Finanzdaten auch anderen Cyberkriminalität zu dienen.

Pikabot ist ein Trojaner, der den Erstzugriff auf infizierte Computer ermöglicht und Ransomware-Einsätze, Computerübernahmen aus der Ferne und Datendiebstahl ermöglicht. Sie alle werden mittlerweile zum Einsatz von Ransomware genutzt und gelten als Hauptbedrohung in der Infektionskette.

So gehen Dropper vor

Infiltration: Dropper können über verschiedene Kanäle in Systeme eindringen, z. B. über E-Mail-Anhänge oder kompromittierte Websites. Sie können auch mit legitimer Software gebündelt werden.

Ausführung: Nach der Ausführung installiert der Dropper die zusätzliche Malware auf dem Computer des Opfers. Diese Installation erfolgt häufig ohne Wissen oder Zustimmung des Benutzers.

Umgehung: Dropper sollen die Erkennung durch Sicherheitssoftware verhindern. Sie verwenden möglicherweise Methoden wie die Verschleierung ihres Codes, die Ausführung im Speicher ohne Speicherung auf der Festplatte oder die Nachahmung legitimer Softwareprozesse.

Payload-Lieferung: Nach der Bereitstellung der zusätzlichen Malware kann der Dropper entweder inaktiv bleiben oder sich selbst entfernen, um einer Erkennung zu entgehen, sodass die Payload die beabsichtigten bösartigen Aktivitäten ausführen kann.

Operation Endgame noch nicht beendet

Laut Europol endet Operation Endgame nicht mit den letzten Schritten. Neue Aktionen werden auf der Website Operation Endgame angekündigt . Darüber hinaus werden Verdächtige, die an diesen und anderen Botnets beteiligt sind und noch nicht festgenommen wurden, direkt für ihre Taten zur Rechenschaft gezogen. Verdächtige und Zeugen sind aufgerufen mit Europol Kontakt aufzunehmen.

Mehr bei Europol.Europa.eu

 

Passende Artikel zum Thema

Malware attackierte iranische Regierungsnetzwerke

Sicherheitsforscher haben eine ausgefeilte Cyberattacke aufgedeckt. Die Malware richtet sich gegen irakische Regierungsnetzwerke, die mit staatlich unterstützten Akteuren aus dem ➡ Weiterlesen

Mit Passphrasen mobile Androidgeräte schützen

Passphrasen sind länger und komplexer als einfache Passwörter. Mithilfe eines Passphrasen-Generators lassen sie sich einfach erstellen. Ein führender Anbieter von ➡ Weiterlesen

Report: Fertigungsbranche im Visier von Cyberkriminellen

Laut Threat Intelligence Report haben im ersten Halbjahr 2024 insbesondere Cyberattacken auf die Fertigungsbranche und den Industriesektor zugenommen. Der Report ➡ Weiterlesen

Sicherheitsfunktionen automatisieren verringert Risiken

Ein Anbieter von Converged Endpoint Management (XEM) bietet eine neue Lösung an, mit der Unternehmen ihre Sicherheits- und IT-Betriebsaufgaben in ➡ Weiterlesen

Staatlich geförderte Cyberangriffe gegen kritische Infrastruktur

Staatlich geförderte Cyberangriffe entwickeln sich zu einer immer größeren Bedrohung, da digitale Systeme unverzichtbar für Regierungen, Unternehmen und kritische Infrastrukturen ➡ Weiterlesen

Phishing: Cyberkriminelle imitieren Zahlungsdienst Zelle

Immer öfter werden Finanzdienstleister Opfer von Third-Party-Phishing-Kampagnen. Neu betroffen ist der Zahlungsdienst Zelle. Kriminelle erbeuten persönliche Daten, indem sie ihre ➡ Weiterlesen

Ransomware-Studie: Vier-Jahres-Hoch im Gesundheitswesen

In seinem Report „The State of Ransomware in Healthcare 2024“ veröffentlicht Sophos seine aktuellen Ergebnisse über die steigenden Angriffe auf ➡ Weiterlesen

End-to-End-Framework schützt vor Datenverlusten

Proofpoint und zertifizierte Partner stellen ihren Kunden ein NIST-orientiertes End-to-End-Framework vor, das bei der Entwicklung, Implementierung und Optimierung von Data ➡ Weiterlesen