Operation Endgame gelingt Schlag gegen Cyberkriminalität

In einer groß angelegten internationalen Operation, die von Europol und Eurojust koordiniert wurde, haben Strafverfolgungsbehörden und Partner aus dem Privatsektor das DanaBot-Malware-Netzwerk erfolgreich zerschlagen. Die Bilanz dieser Aktion, die Teil der laufenden Operation Endgame ist, kann sich sehen lassen: 16 Hintermänner konnten festgenommen werden, gegen weitere 20 Verdächtige wurden internationale Haftbefehle ausgestellt. Rund 300 Server wurden neutralisiert, 650 Webseiten zwischen dem 19.und dem 22. Mai abgeschaltet und mehr als 21,2 Millionen Euro in Kryptowährungen sichergestellt.

Die DanaBot-Malware wird von einer in Russland ansässigen kriminellen Gruppierung betrieben und hat bis zu ihrer Zerschlagung mehr als 300.000 Computer infiziert. Der so durch Betrug und Ransomware verursachte Schaden wird auf mindestens 50 Millionen US-Dollar geschätzt. Entdeckt wurde DanaBot erstmals im Jahr 2018. Damals wurde es als Malware-as-a-Service (MaaS) betrieben und an andere Kriminelle für deren Zwecke vermietet. Die Malware war dabei überaus vielseitig einsetzbar, etwa zum Diebstahl von Bankdaten oder von Informationen zu Kryptowährungen oder zur Überwachung des Browserverlaufs. Dabei ermöglichte DanaBot Fernzugriff, Keylogging und Bildschirmaufzeichnungen. Die ersten Infektionen erfolgten häufig über Spam-E-Mails, wie Sicherheitsforscher von Proofpoint 2019 berichteten. Mittlerweile wird DanaBot auch dafür genutzt, weitere Malware, einschließlich Ransomware, auf ein bereits kompromittiertes System zu übertragen.

Auch Sicherheitsforscher von ESET behielten DanaBot seit den Anfangstagen im Blick und verfolgten die Weiterentwicklung zu einer Top-Banking-Malware. Dabei stellten sie fest, dass Länder wie Polen, Italien, Spanien und die Türkei in der Vergangenheit zu den häufigsten Zielländern der Angriffe gehörten.

Doch DanaBot ist gleich in doppelter Hinsicht gefährlich, denn neben den „normalen“ cyberkriminellen Aktionen zeigte eine Untersuchung, dass eine Variante der Malware, die von CrowdStrike als SCULLY SPIDER identifiziert wurde, es ganz gezielt auf militärische, diplomatische und staatliche Einrichtungen in Nordamerika und Europa abgesehen hatte und für Spionagezwecke eingesetzt wurde. Sie wurde beispielsweise von Sicherheitsforschern von ESET dabei beobachtet, wie sie nach der russischen Invasion DDoS-Angriffe gegen Ziele wie das ukrainische Verteidigungsministerium startete.

Der Pressemitteilung von Europol zufolge ist diese groß angelegte Razzia ein Beweis für die Effizienz einer umfassenden internationalen Zusammenarbeit der Strafverfolgungsbehörden. Die Ermittlungen wurden von der FBI-Außenstelle in Anchorage und dem Defense Criminal Investigative Service (DCIS) geleitet, mit maßgeblicher Unterstützung durch das deutsche Bundeskriminalamt (BKA), die niederländische Nationalpolizei und die australische Bundespolizei. Auch zahlreiche private Cybersicherheitsunternehmen leisteten wichtige technische Unterstützung. Außerdem haben die deutschen Behörden in der vergangenen Woche 18 weitere Verdächtige auf die EU-Liste der meistgesuchten Verbrecher gesetzt.

Diese koordinierte Aktion gegen DanaBot ist ein wichtiger Schlag gegen cyberkriminelle Netzwerke und zeigt die Stärke globaler Partnerschaften im Kampf gegen die wachsenden Bedrohungen der Cybersicherheit. Doch solange die Cyberkriminellen sich immer neue Tricks einfallen lassen, ist die Operation Endgame noch lange nicht vorbei.