Endgame: Europol & Co zerschlagen große Botnetze wie TrickBot

Endgame: Europol & Co zerschlagen große Botnetze wie TrickBot MS-KI

Beitrag teilen

Es war laut Europol der größte, erfolgreiche Einsatz gegen Botnetze aller Zeiten: Eine internationale Operation hat Dropper wie TrickBot, IcedID, SystemBC, Pikabot, Smokeloader und Bumblebee abgeschaltet, was der Abschaltung von über 100 Servern weltweit und zur Beschlagnahmung von über 2.000 Domains führte. Damit hat die Verteilung von Ransomware & Co einen schweren Schlag erlitten.

Zwischen dem 27. und 29. Mai 2024 zielte die vom Europol-Hauptquartier koordinierte Operation Endgame auf Dropper wie IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee und besonders Trickbot. Die Maßnahmen konzentrierten sich auf die Zerschlagung krimineller Dienste durch die Festnahme hochwertiger Zielpersonen, die Zerstörung krimineller Infrastrukturen und das Einfrieren von Vermögen.

Globale Auswirkungen auf Dropper-Ökosystem

🔎 Operation Endgame: Europol und andere Behörden haben zusammen Botnetze zerschlagen und das Dropper-Öksystem lahmgelegt (Bild: Europol).

Dieser Ansatz hatte globale Auswirkungen auf das Dropper-Ökosystem. Die Malware, deren Infrastruktur während der Aktionstage lahmgelegt wurde, ermöglichte Angriffe mit Ransomware und anderer Schadsoftware. Im Anschluss an die Aktionstage werden am 30. Mai 2024 acht von Deutschland gesuchte Flüchtige im Zusammenhang mit diesen kriminellen Aktivitäten in Europas meistgesuchte Liste aufgenommen. Gesucht werden die Personen wegen ihrer Beteiligung an schweren Cybercrime-Aktivitäten.

Dabei handelt es sich um den bislang größten Einsatz gegen Botnets, die bei der Verbreitung von Ransomware eine wichtige Rolle spielen. Die von Frankreich, Deutschland und den Niederlanden initiierte und geleitete Operation wurde auch von Eurojust unterstützt und umfasste Dänemark, das Vereinigte Königreich und die Vereinigten Staaten.

Darüber hinaus unterstützten auch Armenien, Bulgarien, Litauen, Portugal, Rumänien, die Schweiz und die Ukraine die Operation mit verschiedenen Aktionen, wie Festnahmen, Befragungen von Verdächtigen, Durchsuchungen sowie Beschlagnahmungen oder Abschaltungen von Servern und Domains. Die Operation wurde auch von einer Reihe privater Partner auf nationaler und internationaler Ebene unterstützt, darunter Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus, DIVD, Missbrauch. ch und Zscaler.

Die koordinierten Maßnahmen führten zu

  • 4 Festnahmen (1 in Armenien und 3 in der Ukraine)
  • 16 Standortsuchen (1 in Armenien, 1 in den Niederlanden, 3 in Portugal und 11 in der Ukraine)
  • Über 100 Server wurden in Bulgarien, Kanada, Deutschland, Litauen, den Niederlanden, Rumänien, der Schweiz, dem Vereinigten Königreich, den Vereinigten Staaten und der Ukraine heruntergefahren oder unterbrochen
  • Über 2.000 Domains stehen unter der Kontrolle der Strafverfolgungsbehörden
  • Darüber hinaus wurde durch die bisherigen Ermittlungen festgestellt, dass einer der Hauptverdächtigen durch die Vermietung krimineller Infrastrukturstandorte zum Einsatz von Ransomware mindestens 69 Millionen Euro an Kryptowährung verdient hat. Die Transaktionen des Verdächtigen werden ständig überwacht und die rechtliche Genehmigung zur Beschlagnahmung dieser Vermögenswerte bei künftigen Maßnahmen wurde bereits eingeholt.

Dropper – die Vorstufe für Ransomware & Co

Malware-Dropper sind eine Schadsoftware, die dazu dient, andere Malware auf einem Zielsystem zu installieren. Sie werden in der ersten Phase eines Malware-Angriffs eingesetzt und ermöglichen es Kriminellen, Sicherheitsmaßnahmen zu umgehen und zusätzliche schädliche Programme wie Viren, Ransomware oder Spyware einzusetzen. Dropper selbst verursachen in der Regel keinen direkten Schaden, sind jedoch für den Zugriff auf und die Implementierung schädlicher Software auf den betroffenen Systemen von entscheidender Bedeutung.

SystemBC ermöglichte die anonyme Kommunikation zwischen einem infizierten System und einem Command-and-Control-Server. Bumblebee, das hauptsächlich über Phishing-Kampagnen oder kompromittierte Websites verbreitet wird, wurde entwickelt, um die Bereitstellung und Ausführung weiterer Nutzlasten auf kompromittierten Systemen zu ermöglichen.

SmokeLoader wurde hauptsächlich als Downloader verwendet, um zusätzliche Schadsoftware auf den infizierten Systemen zu installieren. IcedID (auch bekannt als BokBot), ursprünglich als Banktrojaner eingestuft, wurde weiterentwickelt, um neben dem Diebstahl von Finanzdaten auch anderen Cyberkriminalität zu dienen.

Pikabot ist ein Trojaner, der den Erstzugriff auf infizierte Computer ermöglicht und Ransomware-Einsätze, Computerübernahmen aus der Ferne und Datendiebstahl ermöglicht. Sie alle werden mittlerweile zum Einsatz von Ransomware genutzt und gelten als Hauptbedrohung in der Infektionskette.

So gehen Dropper vor

Infiltration: Dropper können über verschiedene Kanäle in Systeme eindringen, z. B. über E-Mail-Anhänge oder kompromittierte Websites. Sie können auch mit legitimer Software gebündelt werden.

Ausführung: Nach der Ausführung installiert der Dropper die zusätzliche Malware auf dem Computer des Opfers. Diese Installation erfolgt häufig ohne Wissen oder Zustimmung des Benutzers.

Umgehung: Dropper sollen die Erkennung durch Sicherheitssoftware verhindern. Sie verwenden möglicherweise Methoden wie die Verschleierung ihres Codes, die Ausführung im Speicher ohne Speicherung auf der Festplatte oder die Nachahmung legitimer Softwareprozesse.

Payload-Lieferung: Nach der Bereitstellung der zusätzlichen Malware kann der Dropper entweder inaktiv bleiben oder sich selbst entfernen, um einer Erkennung zu entgehen, sodass die Payload die beabsichtigten bösartigen Aktivitäten ausführen kann.

Operation Endgame noch nicht beendet

Laut Europol endet Operation Endgame nicht mit den letzten Schritten. Neue Aktionen werden auf der Website Operation Endgame angekündigt . Darüber hinaus werden Verdächtige, die an diesen und anderen Botnets beteiligt sind und noch nicht festgenommen wurden, direkt für ihre Taten zur Rechenschaft gezogen. Verdächtige und Zeugen sind aufgerufen mit Europol Kontakt aufzunehmen.

Mehr bei Europol.Europa.eu

 

Passende Artikel zum Thema

Robotik, KI oder Firmenwagen – wo Manager Cybergefahren sehen

Deutsche und Schweizer C-Level Manager sehen besonders für das Home-Office Handlungsbedarf, um dort in der Zukunft sensible Daten besser zu ➡ Weiterlesen

Ohne Notfallplan ist der Datenverlust vorprogrammiert

In der Umfrage des Uptime Institute geben 60 Prozent der Unternehmen an, dass sie in den letzten drei Jahren einen ➡ Weiterlesen

Win 11 Copilot+ Recall: Microsoft baut auf Druck IT-Security ein

Kurz nachdem Microsoft Chef Satya Nadella Copilot+ Recall für Windows 11 vorgestellt hatte, haben Experten in Sachen IT-Security vernichtende Urteile ➡ Weiterlesen

CISOs unter Druck: Sollen Cyberrisiken herunterspielen

Die Studienergebnisse zum Umgang mit Cyberrisiken in Unternehmen haben es in sich. Die Trend Micro-Studie zeigt: Drei Viertel der deutschen ➡ Weiterlesen

APT-Gruppen: Viele Router als Teil riesiger Botnetze 

In einem Blogbeitrag analysiert Trend Micro wie Pawn Storm (auch APT28 oder Forest Blizzard) und andere APT-Akteure Router kompromittieren und ➡ Weiterlesen

Hoffnung für Unternehmen: FBI hat 7.000 LockBit Ransomware-Keys

Bereits im Februar und im Mai startete FBI, Europol und viele andere Behörden die Operationen gegen die Ransomware-Erpresser LockBit. Dabei ➡ Weiterlesen

Microsofts Copilot+ Recall: Gefährliche Totalüberwachung?

Microsoft sieht es als Superservice, Security-Experten als Super-GAU: Microsofts Copilot+ Recall für Windows 11 zeichnet alle 5 Sekunden die Tätigkeiten ➡ Weiterlesen

Ransomware: 97 Prozent der Betroffen sucht Rat bei Behörden

Enorm viele Unternehmen wenden sich bei einer Cyberattacke an behördliche Einrichtungen. Der aktuelle Sophos State of Ransomware Report bestätig, dass ➡ Weiterlesen