Die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und das Bundeskriminalamt (BKA) haben am 28. und 29.05.2024 in einer international abgestimmten Aktion gemeinsam mit Strafverfolgungsbehörden aus den Niederlanden, Frankreich, Dänemark, Großbritannien, Österreich sowie den USA, unterstützt durch Europol und Eurojust, mehrere der derzeit einflussreichsten Schadsoftware-Familien vom Netz genommen. An den Maßnahmen waren im Rahmen der Internationalen Rechtshilfe zudem die portugiesischen, ukrainischen, schweizerischen, litauischen, rumänischen, bulgarischen sowie armenischen Strafverfolgungsbehörden beteiligt.
Bei den maßgeblich durch die ZIT und das BKA koordinierten Maßnahmen im Zuge der internationalen Operation „Endgame“ wurden weltweit über 100 Server beschlagnahmt sowie über 1.300 kriminell genutzte Domains unschädlich gemacht. Gegen einen identifizierten Betreiber und Administrator wurde ein Vermögensarrest in Höhe von 69 Millionen Euro erwirkt. Zudem wurden 99 Krypto-Wallets mit einem aktuellen Gesamtvolumen in Höhe von mehr als 70 Millionen Euro bei zahlreichen Kryptobörsen gesperrt. Weiterhin wurden 10 internationale Haftbefehle erlassen und vier Personen vorläufig festgenommen. Im Rahmen der Gesamtmaßnahmen fanden Durchsuchungen an insgesamt 16 Objekten in Armenien, den Niederlanden, Portugal und der Ukraine statt, bei denen zahlreiche Beweismittel sichergestellt worden sind. Die bei der Operation Endgame sichergestellten Daten werden derzeit ausgewertet und können zu Anschlussermittlungen führen.
Den „Takedowns“ gingen langwierige und aufwändige Ermittlungen in den beteiligten Staaten voraus. In Deutschland werden die Ermittlungen u. a. wegen Verdachts der banden- und gewerbsmäßigen Erpressung sowie der Mitgliedschaft in einer kriminellen Vereinigung im Ausland geführt.
Ziel der internationalen Operation Endgame ist die nachhaltige Bekämpfung der weltweiten Cybercrime, indem nicht nur gegen einzelne Schadsoftware-Familien vorgegangen wird, sondern Maßnahmen gegen die täterseitig genutzte technische und finanzielle Infrastruktur und gegen die Akteure gleich mehrerer solcher teilweise kollaborierender Tätergruppen gebündelt werden.
Die aktuellen Maßnahmen richteten sich in erster Linie gegen die Gruppierungen hinter den sechs Schadsoftware-Familien IcedID, SystemBC, Bumblebee, Smokeloader, Pikabot und Trickbot, die als sogenannte „Dropper“ mit mindestens 15 Ransomware-Gruppierungen in Verbindung standen. Dropper sind Schadsoftware-Varianten (sogenannte Malware), die zur Erstinfektion genutzt werden und Cyberkriminellen als Türöffner dienen, um unbemerkt Opfersysteme zu infizieren und dann weitere Schadsoftware nachzuladen. Dies geschieht etwa mit dem Ziel, persönliche Daten wie Nutzernamen und Passwörter abzugreifen oder infizierte Systeme beziehungsweise dadurch betroffene Netzwerke im Fall von Ransomware in erpresserischer Absicht zu verschlüsseln.
Der aus deutscher Sicht gefährlichste Dropper war die Schadsoftware Smokeloader, die bereits seit über zehn Jahren existierte und sich fortlaufend weiterentwickelte. Bei den internationalen Maßnahmen wurde die technische Infrastruktur von Smokeloader sowie fünf weiterer Dropperdienste beschlagnahmt und deren Kontrolle von den Strafverfolgungsbehörden übernommen. Damit wurde den Tätern der Zugriff auf tausende Opfersysteme entzogen. Allein das Botnetz von Smokeloader umfasste im Verlauf des vergangenen Jahres mehrere hunderttausend Systeme. Für die Benachrichtigung der Opfer einer Botnetz-Infektion ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) zuständig.
Gegen insgesamt acht Akteure wurden von Deutschland Haftbefehle erlassen. Auf dieser Grundlage fahnden BKA und ZIT gemeinsam nach sieben identifizierten Personen, die im dringenden Verdacht stehen, sich als Mitglied an einer kriminellen Vereinigung zum Zwecke der Verbreitung der Schadsoftware Trickbot beteiligt zu haben. Zudem wird nach einem weiteren Beschuldigten gefahndet, der dringend verdächtig ist, einer der Rädelsführer der Gruppierung hinter der Schadsoftware Smokeloader zu sein. Lichtbilder und Beschreibungen der Beschuldigten können über folgenden Link auf der BKA-Webseite abgerufen werden: www.bka.de/endgame_fahndung
BKA-Vizepräsidentin Martina Link:
„Mit der bislang größten internationalen Cyber-Polizeioperation ist den Strafverfolgungsbehörden ein bedeutender Schlag gegen die Cybercrime-Szene gelungen. Der aktuelle Erfolg stützt sich auf Maßnahmen gegen Infrastrukturen, Akteure und ihre Finanzmittel und ist geeignet, das Vertrauen innerhalb der Underground Economy zu beeinträchtigen. Durch die intensive, internationale Zusammenarbeit konnten gleich sechs der größten Schadsoftware-Familien unschädlich gemacht werden. Wir werden Cybercrime auch weiterhin gemeinsam mit unseren nationalen und internationalen Partnern aktiv entgegenwirken, um den Kriminellen möglichst dauerhaft ihre Arbeitsgrundlage zu entziehen.“
ZIT-Leiter Oberstaatsanwalt Dr. Benjamin Krause:
„Die internationale Kooperation der Strafverfolgungsbehörden zur Bekämpfung von Cybercrime funktioniert und wird ständig fortentwickelt. Denn nur mit gemeinsamen Maßnahmen wie der Beschlagnahme krimineller IT-Infrastruktur und der Abschöpfung kriminell erlangter Finanzmittel können die Verantwortlichen von global tätigen Schadsoftware-Gruppierungen effektiv verfolgt werden.“
Videomaterial auf Anfrage
Wenn Sie Videomaterial benötigen, wenden Sie sich bitte an die Pressestelle des BKA unter pressestelle@bka.bund.de
Informationen zur Fahndung
Pressemitteilung
Weitere Informationen zur Operation Endgame
FAQ zu Schadsoftware
Wie kann ich mich privat gegen Schadsoftware schützen?
- Halten Sie Ihr Betriebssystem und Dritt-Software stets auf dem neusten Stand.
- Nutzen Sie eine Antiviren-Software und aktualisieren Sie diese immer wieder.
- Sichern Sie regelmäßig Ihre Daten (Backups) und halten diese am besten „offline“ vor. Seien Sie misstrauisch bei Links oder Anlagen in E-Mails mit unbekanntem Absender.
- Haben Sie aber auch ein gesundes Misstrauen, wenn Ihnen etwas bei vermeintlich bekannten Absendern ungewöhnlich vorkommt. Öffnen Sie Dateianhänge und Links von E-Mails nur mit Vorsicht. Bei einer verdächtigen E-Mail sollten Sie im Zweifelsfall den Absender anrufen und sich nach dem tatsächlichen Versand der Inhalte erkundigen.
Wie können sich Unternehmen gegen Schadsoftware schützen?
- Entwerfen Sie Verfahrensweisen und Anleitungen, wie sich Ihre Mitarbeitenden im Falle eines Cyberangriffs verhalten sollen.
- Aktualisieren Sie Ihr Sicherheitskonzept regelmäßig.
- Schulen Sie Ihre Mitarbeitenden hinsichtlich Cybersicherheit.
- Legen Sie (vom System getrennte) Backups Ihres Systems an.
- Erstatten Sie im Fall einer Infektion unverzüglich Strafanzeige bei Ihrer Zentralen Ansprechstelle Cybercrime (ZAC). Eine Übersicht über die Ansprechstellen finden Sie hier
Was mache ich, wenn ich Opfer eines Schadsoftware-Angriffs geworden bin?
Sie sind Opfer einer Straftat geworden (hier einer Datenveränderung, strafbar gem. § 303a Strafgesetzbuch), indem ohne Ihr Wissen Schadsoftware auf einem Ihrer Computer installiert wurde. Es besteht die Gefahr, dass die Täter Zugang zu Ihren persönlichen Daten hatten oder Sie aufgrund der nachgeladenen Schadsoftware nicht mehr auf Ihren Computer und Ihre Daten zugreifen können. Das BKA rät Ihnen, alle Ihre Zugangsdaten, die Sie auf den betroffenen Systemen (zum Beispiel im Web-Browser) gespeichert oder eingegeben haben, zu ändern und Ihre Systeme zu bereinigen.
Eine Anleitung, wie sie dies durchführen, finden Sie beispielsweise hier auf der Internetseite des BSI
Die Polizei rät: Erstatten Sie bei Cyberangriffen jeder Art unverzüglich Strafanzeige bei Ihrer örtlich zuständigen Polizeidienststelle. Cyberkriminelle werden Angriffe wiederholen und die Polizei kann nur Kriminalität bekämpfen, wenn Sie sie über eine Straftat informieren.
FAQ Smokeloader
Bisherige Erfolge der Abteilung Cybercrime
Um der Cyberkriminalität nachhaltig zu begegnen, sind personelle Ermittlungen, also die Identifizierung und erfolgreiche Verfolgung von Straftätern, ein wichtiger und effektiver Ansatz. Da sich Cyberkriminelle jedoch oftmals im Ausland aufhalten und von einigen Ländern geduldet oder sogar geschützt werden, bleiben sie für die deutschen Strafverfolgung oftmals unerreichbar. Daher sind die Maßnahmen der deutschen Strafverfolgungsbehörden ebenfalls darauf ausgerichtet, die Infrastruktur der Cyberkriminellen zu schwächen und zu zerschlagen.
Durch diesen Infrastrukturansatz konnten der Underground Economy in jüngster Vergangenheit teils beträchtliche Finanzmittel entzogen werden. Außerdem wurden IT-Systeme und Daten sichergestellt, die zu weiteren Ermittlungsansätzen geführt haben.
So ist es 2023 etwa gelungen, die Serverinfrastruktur des weltweit umsatzstärksten Krypto-Mixers im Darknet, ChipMixer, zu beschlagnahmen und umgerechnet rund 90 Millionen Euro sicherzustellen Darüber hinaus wurde die Infrastruktur mehrerer krimineller Marktplätze beschlagnahmt – darunter Kingdom Market. Zudem konnte die Schadsoftware Qakbot in 2023 und Emotet in 2021 vom Netz genommen werden. Beide zählten zu den Top-Bedrohungen aus dem Cyberraum und verursachten weltweit Schäden in Höhe von mehreren hundert Millionen Euro.
Auf den Webseiten der betroffenen illegalen Dienste wurde das nachfolgende Sicherstellungsbanner veröffentlicht:
Die neun Säulen der Cybercrimebekämpfung
Begriffserklärung
- Cybercrime-as-a-Service (CaaS)
„Cybercrime-as-a-Service“ ist ein professionalisiertes, illegales Geschäftsmodell für Cyberkriminalität, das Cyberkriminalität als buchbare Leistung anbietet. Cyberkriminelle stellen Tools, Anwendungen, Plattformen, Know-how und andere Services zur Ausführung krimineller Handlungen wie Angriffe auf IT-Systeme, Daten und digitale Infrastrukturen zur Verfügung. Angeboten werden beispielsweise Leistungen wie Ransomware-as-a-Service (RaaS), Botnetze, DDoS-Attacken, Diebstahl von Daten sowie Malware.
- Bot/Botnetz
Als Bot bezeichnet man ein Programm, das ferngesteuert auf einem Computersystem arbeitet und dieses so kontrolliert. Von Botnetzen spricht man dann, wenn sich sehr viele infizierte Systeme – meist mehrere Tausend – per Fernsteuerung zusammengeschlossen haben und zu bestimmten Aktionen missbraucht werden. Nicht nur klassische PCs können zu Bots werden, auch andere Geräte, welche einen Internetzugang haben oder Teil eines Netzwerkes sind, sind gefährdet. Beispiele sind hier mobile Geräte wie Smartphones oder Tablets, Wearables oder Teile des sogenannten Internet of Things (IoT) wie Webcams oder Router.
- Command & Control-Infrastruktur
Ein Command-and-Control-Server (C&C-Server) ist ein Server, der dazu verwendet wird, Befehle an ein kompromittiertes System zu senden und es auf diese Weise aus der Ferne zu kontrollieren. In den meisten Fällen wird ein solcher Server von Angreifern oder Cyberkriminellen betrieben, um unbemerkt Schadcodes in das System des Opfers einzuschleusen, Passwörter auszulesen, Daten zu stehlen oder zu manipulieren oder den betroffenen Rechner unbemerkt als Teil eines Botnetzes zu missbrauchen. Die Anzahl und Struktur der Vernetzung der C&C-Server eines Botnetzes kann variieren. In der Regel spricht man von Command & Control-Infrastruktur, wenn sich Cyberkriminelle mehrerer C&C-Server bedienen.
- Malware
Malware (abgeleitet aus „Malicious software“) bezeichnet Schadsoftware, die dazu entwickelt wurde, unerwünschte und meist schädliche Funktionen auf einem IT-System ausführen (z.B. Loader, Dropper und Ransomware). Diese werden zunehmend mit einer Vielzahl an Funktionalitäten programmiert und nicht mehr nur für einen spezifischen Zweck eingesetzt. Zum Beispiel verschlüsselt Ransomware Daten auf einem angegriffenem IT-System und verlangt vom Besitzer eine finanzielle Leistung für die Entschlüsselung der Daten. Spionagesoftware dagegen versucht, Informationen aus einem IT-System auszuleiten. Malware kann auf allen Betriebssystemen und (mobilen) Endgeräten ausgeführt werden.
- Phishing
Unter Phishing (abgeleitet von fishing, zu Deutsch „angeln“) versteht man Versuche von Kriminellen, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner auszugeben, um so an deren persönliche Daten zu gelangen. Typisch ist dabei die Nachahmung einer vertrauenswürdigen Stelle, zum Beispiel einer Bank. Sie zielen darauf ab, die Konten der Betroffenen zu plündern, Schadsoftware zu installieren oder Identitätsdiebstahl zu begehen.
- Dropper/Loader
Dropper oder Loader sind eigenständig ausführbare Computerprogramme mit der primären Funktion, Opfersysteme unbemerkt zu infizieren und danach weitere Schadsoftware(-Module) nachzuladen. Sie sind besonders gefährlich und relevant, da sie oftmals der Ausgangspunkt für Infektionen mit noch schadhafteren Malwarevarianten sind. Dropper werden oft im Rahmen von massenhaft versandten E-Mails (sogenannte Spam-E-Mails) verbreitet. Die Art der Infektion kann sich aber bei verschiedenen Droppern unterscheiden. Dropper können auch durch andere Malware auf infizierten Systemen nachgeladen werden.
- Ransomware
Das englische Wort „ransom“ zu Deutsch Lösegeld bezeichnet den Zweck, zu dem Cyberkriminelle Ransomware-Schadprogramme einsetzen. Ransomware in seinen unterschiedlichen Varianten zielt in der Regel auf die Verschlüsselung von Dateien auf dem angegriffenen IT-System ab. Nachdem die Daten verschlüsselt wurden, wird seitens der Angreifer ein Lösegeld verlangt, um die Daten wieder freizugeben bzw. sie nicht im Internet zu veröffentlichen. Opfer von Ransomware wurden in der Vergangenheit nicht nur Großkonzerne, sondern auch mittelständische Unternehmen Krankenhäusern und Kommunen. Aber auch Privatpersonen können von Ransomware-Angriffen unmittelbar betroffen sein.