Eine groß angelegte Polizeikampagne in ganz Europa zerstört Ransomware-Netzwerke und nimmt vier Verdächtige fest

DEN HAAG, Niederlande – Die Polizei hat in Abstimmung mit Justiz- und Polizeibehörden der Europäischen Union Computernetzwerke lahmgelegt, die für die Verbreitung von Ransomware über infizierte E-Mails verantwortlich sind. Dies ist die größte internationale Operation aller Zeiten gegen diese lukrative Form der Cyberkriminalität.

Die Polizei hat vier hochrangige Verdächtige festgenommen, mehr als 100 Server lahmgelegt und die Kontrolle über mehr als 2.000 Internetdomänen übernommen, teilte die Agentur für justizielle Zusammenarbeit der Europäischen Union, Eurojust, am Donnerstag mit.

Der massive Angriff dieser Woche mit dem Codenamen Endgame umfasste koordinierte Aktionen in Deutschland, den Niederlanden, Frankreich, Dänemark, der Ukraine, den Vereinigten Staaten und dem Vereinigten Königreich, sagte Eurojust. Drei Verdächtige wurden außerdem in der Ukraine und einer in Armenien festgenommen. Europol fügte hinzu, dass Durchsuchungen in der Ukraine, Portugal, den Niederlanden und Armenien durchgeführt wurden.

Es handelt sich um die jüngste internationale Operation, die darauf abzielt, Malware- und Ransomware-Operationen zu stören. Eurojust sagte, dies sei eine Folge der groß angelegten Zerstörung eines Botnetzes namens Emotet im Jahr 2021 gewesen. Ein Botnet ist ein Netzwerk gekaperter Computer, das typischerweise zur Durchführung böswilliger Aktivitäten genutzt wird.

Europol versicherte, dass dies nicht die letzte Abschaltung sein würde.

„Operation Endgame endet heute nicht. Neue Maßnahmen werden auf der Website von Operation Endgame bekannt gegeben“, sagte Europol in einer Erklärung.

Die niederländische Polizei sagte, dass der durch das Netzwerk verursachte finanzielle Schaden für Regierungen, Unternehmen und einzelne Benutzer auf Hunderte Millionen Euro (Dollar) geschätzt wird.

„Millionen Menschen sind auch Opfer, weil ihre Systeme infiziert wurden, was sie zu einem Teil dieser Botnetze macht“, heißt es in der niederländischen Erklärung.

Eurojust sagte, einer der Hauptverdächtigen habe sich durch die Anmietung krimineller Infrastruktur zur Verbreitung von Ransomware Kryptowährungen im Wert von mindestens 69 Millionen Euro (74 Millionen US-Dollar) beschafft.

Europol fügte hinzu: „Die Transaktionen des Verdächtigen werden ständig überwacht und es wurde bereits die rechtliche Genehmigung eingeholt, diese Vermögenswerte zu beschlagnahmen, wenn künftige Maßnahmen ergriffen werden.“

Die Operation zielte auf Malware namens IcedID, Pikabot, Smokeloader, Bumblebee und Trickbot ab. Ein Dropper ist eine Malware, die sich typischerweise in E-Mails verbreitet, die infizierte Links oder Anhänge wie Versandrechnungen oder Bestellformulare enthalten.

„Dieser Ansatz hatte globale Auswirkungen auf das Dropper-Ökosystem. Die Malware, deren Infrastruktur während der Tage des Ereignisses entfernt wurde, erleichterte Angriffe mit Ransomware und anderer Malware“, sagte Europol.

Ben Jones, CEO von Searchlight Cyber, einem Unternehmen, das Informationen zum Dark Web bereitstellt, lobte die Operation als Beispiel dafür, wie internationale Zusammenarbeit gegen Cyberkriminalität vorgehen kann.

„Während Cyberkriminelle zuvor ihre Fähigkeit, grenzüberschreitend zu agieren, nutzten, um der Justiz zu entgehen, beweisen Operationen wie Endgame – die über mehrere Gerichtsbarkeiten hinweg koordiniert werden –, dass diese Umgehungstaktik unhaltbar ist“, sagte Jones in per E-Mail an The Associated Press gesendeten Kommentaren. „Das Internet expandiert und der Zugang zu ‚sicheren Zonen‘ für cyberkriminelle Aktivitäten wird immer schwieriger.“

Die niederländische Polizei sagte, diese Maßnahmen sollten Cyberkriminelle auf die Möglichkeit einer Festnahme aufmerksam machen.

„Dieser Einsatz zeigt, dass man immer Spuren hinterlässt und niemand gefunden werden kann, nicht einmal im Internet“, sagte Stan Doive von der niederländischen Nationalpolizei in einer Videoerklärung.

Die stellvertretende Chefin des Bundeskriminalamtes, Martina Lenk, bezeichnete den Einsatz als „den bislang größten internationalen Cyberpolizeieinsatz“.

„Dank umfangreicher internationaler Zusammenarbeit ist es gelungen, sechs der größten Malware-Familien unschädlich zu machen“, heißt es in einer Stellungnahme.

Die deutschen Behörden wollen sieben Personen wegen des Verdachts der Mitgliedschaft in einer kriminellen Vereinigung festnehmen, die die Verbreitung der Trickbot-Malware zum Ziel hat. Eine achte Person wird vermutet, einer der Anführer der Gruppe hinter dem Smokeloader zu sein.

Europol sagte, es werde die acht von Deutschland gesuchten Verdächtigen auf seine Fahndungsliste setzen.

___

Der assoziierte Presseautor Geir Molson aus Berlin hat zu diesem Bericht beigetragen.