Endgame: Europol & Co zerschlagen große Botnetze wie TrickBot

Endgame: Europol & Co zerschlagen große Botnetze wie TrickBot MS-KI

Beitrag teilen

Es war laut Europol der größte, erfolgreiche Einsatz gegen Botnetze aller Zeiten: Eine internationale Operation hat Dropper wie TrickBot, IcedID, SystemBC, Pikabot, Smokeloader und Bumblebee abgeschaltet, was der Abschaltung von über 100 Servern weltweit und zur Beschlagnahmung von über 2.000 Domains führte. Damit hat die Verteilung von Ransomware & Co einen schweren Schlag erlitten.

Zwischen dem 27. und 29. Mai 2024 zielte die vom Europol-Hauptquartier koordinierte Operation Endgame auf Dropper wie IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee und besonders Trickbot. Die Maßnahmen konzentrierten sich auf die Zerschlagung krimineller Dienste durch die Festnahme hochwertiger Zielpersonen, die Zerstörung krimineller Infrastrukturen und das Einfrieren von Vermögen.

Anzeige

Globale Auswirkungen auf Dropper-Ökosystem

🔎 Operation Endgame: Europol und andere Behörden haben zusammen Botnetze zerschlagen und das Dropper-Öksystem lahmgelegt (Bild: Europol).

Dieser Ansatz hatte globale Auswirkungen auf das Dropper-Ökosystem. Die Malware, deren Infrastruktur während der Aktionstage lahmgelegt wurde, ermöglichte Angriffe mit Ransomware und anderer Schadsoftware. Im Anschluss an die Aktionstage werden am 30. Mai 2024 acht von Deutschland gesuchte Flüchtige im Zusammenhang mit diesen kriminellen Aktivitäten in Europas meistgesuchte Liste aufgenommen. Gesucht werden die Personen wegen ihrer Beteiligung an schweren Cybercrime-Aktivitäten.

Dabei handelt es sich um den bislang größten Einsatz gegen Botnets, die bei der Verbreitung von Ransomware eine wichtige Rolle spielen. Die von Frankreich, Deutschland und den Niederlanden initiierte und geleitete Operation wurde auch von Eurojust unterstützt und umfasste Dänemark, das Vereinigte Königreich und die Vereinigten Staaten.

Darüber hinaus unterstützten auch Armenien, Bulgarien, Litauen, Portugal, Rumänien, die Schweiz und die Ukraine die Operation mit verschiedenen Aktionen, wie Festnahmen, Befragungen von Verdächtigen, Durchsuchungen sowie Beschlagnahmungen oder Abschaltungen von Servern und Domains. Die Operation wurde auch von einer Reihe privater Partner auf nationaler und internationaler Ebene unterstützt, darunter Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus, DIVD, Missbrauch. ch und Zscaler.

Die koordinierten Maßnahmen führten zu

  • 4 Festnahmen (1 in Armenien und 3 in der Ukraine)
  • 16 Standortsuchen (1 in Armenien, 1 in den Niederlanden, 3 in Portugal und 11 in der Ukraine)
  • Über 100 Server wurden in Bulgarien, Kanada, Deutschland, Litauen, den Niederlanden, Rumänien, der Schweiz, dem Vereinigten Königreich, den Vereinigten Staaten und der Ukraine heruntergefahren oder unterbrochen
  • Über 2.000 Domains stehen unter der Kontrolle der Strafverfolgungsbehörden
  • Darüber hinaus wurde durch die bisherigen Ermittlungen festgestellt, dass einer der Hauptverdächtigen durch die Vermietung krimineller Infrastrukturstandorte zum Einsatz von Ransomware mindestens 69 Millionen Euro an Kryptowährung verdient hat. Die Transaktionen des Verdächtigen werden ständig überwacht und die rechtliche Genehmigung zur Beschlagnahmung dieser Vermögenswerte bei künftigen Maßnahmen wurde bereits eingeholt.

Dropper – die Vorstufe für Ransomware & Co

Malware-Dropper sind eine Schadsoftware, die dazu dient, andere Malware auf einem Zielsystem zu installieren. Sie werden in der ersten Phase eines Malware-Angriffs eingesetzt und ermöglichen es Kriminellen, Sicherheitsmaßnahmen zu umgehen und zusätzliche schädliche Programme wie Viren, Ransomware oder Spyware einzusetzen. Dropper selbst verursachen in der Regel keinen direkten Schaden, sind jedoch für den Zugriff auf und die Implementierung schädlicher Software auf den betroffenen Systemen von entscheidender Bedeutung.

SystemBC ermöglichte die anonyme Kommunikation zwischen einem infizierten System und einem Command-and-Control-Server. Bumblebee, das hauptsächlich über Phishing-Kampagnen oder kompromittierte Websites verbreitet wird, wurde entwickelt, um die Bereitstellung und Ausführung weiterer Nutzlasten auf kompromittierten Systemen zu ermöglichen.

SmokeLoader wurde hauptsächlich als Downloader verwendet, um zusätzliche Schadsoftware auf den infizierten Systemen zu installieren. IcedID (auch bekannt als BokBot), ursprünglich als Banktrojaner eingestuft, wurde weiterentwickelt, um neben dem Diebstahl von Finanzdaten auch anderen Cyberkriminalität zu dienen.

Pikabot ist ein Trojaner, der den Erstzugriff auf infizierte Computer ermöglicht und Ransomware-Einsätze, Computerübernahmen aus der Ferne und Datendiebstahl ermöglicht. Sie alle werden mittlerweile zum Einsatz von Ransomware genutzt und gelten als Hauptbedrohung in der Infektionskette.

So gehen Dropper vor

Infiltration: Dropper können über verschiedene Kanäle in Systeme eindringen, z. B. über E-Mail-Anhänge oder kompromittierte Websites. Sie können auch mit legitimer Software gebündelt werden.

Ausführung: Nach der Ausführung installiert der Dropper die zusätzliche Malware auf dem Computer des Opfers. Diese Installation erfolgt häufig ohne Wissen oder Zustimmung des Benutzers.

Umgehung: Dropper sollen die Erkennung durch Sicherheitssoftware verhindern. Sie verwenden möglicherweise Methoden wie die Verschleierung ihres Codes, die Ausführung im Speicher ohne Speicherung auf der Festplatte oder die Nachahmung legitimer Softwareprozesse.

Payload-Lieferung: Nach der Bereitstellung der zusätzlichen Malware kann der Dropper entweder inaktiv bleiben oder sich selbst entfernen, um einer Erkennung zu entgehen, sodass die Payload die beabsichtigten bösartigen Aktivitäten ausführen kann.

Operation Endgame noch nicht beendet

Laut Europol endet Operation Endgame nicht mit den letzten Schritten. Neue Aktionen werden auf der Website Operation Endgame angekündigt . Darüber hinaus werden Verdächtige, die an diesen und anderen Botnets beteiligt sind und noch nicht festgenommen wurden, direkt für ihre Taten zur Rechenschaft gezogen. Verdächtige und Zeugen sind aufgerufen mit Europol Kontakt aufzunehmen.

Mehr bei Europol.Europa.eu

 

Passende Artikel zum Thema

Datensicherheit für Databricks

Ein Spezialist für datenzentrierte Cybersicherheit, baut die Abdeckung seiner Datensicherheitsplattform auf Databricks aus. Auf diese Weise können auch kritische Daten ➡ Weiterlesen

Reduzierte Komplexität und KI-gestützte Automatisierung

Eine neue Technologieplattform reduziert die Komplexität für Unternehmen durch die nahtlose Integration von Netzwerk-, Sicherheits- und KI-Lösungen. Die KI-gestützte Automatisierung ➡ Weiterlesen

IT-Security: Innovationsdruck und Fachkräftemangel

Wie wirken sich Innovationsdruck und Fachkräftemangel auf die IT-Security aus? Neue junge Mitarbeiter stoßen in der IT-Security oft auf alteingesessene ➡ Weiterlesen

ENISA-Bericht: DoS-und DDoS-Angriffe auf Platz eins

ENISA, die Agentur für Cybersicherheit der EU, hat Cybervorfälle von 2023 bis 2024 analysiert. DDoS-Angriffe gehören mit über 40 Prozent ➡ Weiterlesen

Multicloud: Datenschutz wird immer wichtiger

Acht von zehn Unternehmen nutzen bereits Multicloud-Umgebungen oder planen es zu nutzen, so eine aktuelle Umfrage. Allerdings bringt die Komplexität ➡ Weiterlesen

Endpoint: Unternehmenslösungen im Test gegen Ransomware

Das AV-TEST Institut hat 8 Security-Lösungen für Unternehmen in einem erweiterten Test untersucht. Dabei stand nicht die massenhafte Erkennung von ➡ Weiterlesen

Software-Tester: Fake-Jobangebote mit Malware aus Nordkorea

Über eine aktive Kampagne mit gefälschten Jobangeboten auf LinkedIn greifen Hacker Bewerber an: Im Rahmen des Bewerbungsverfahrens erhalten die Angreifer ➡ Weiterlesen

Application-Security: Deutschland ist Vorreiter

Der neueste ASPM Report zeigt, dass deutsche Unternehmen aktiver an der Verbesserung ihrer Application-Security arbeiten. Fast 70 Prozent von ihnen ➡ Weiterlesen