Avalanche: Behörden legen Botnet lahm

Europol hat in Zusammenarbeit mit dem US-Justizministerium das Botnetz Avalanche lahmgelegt. Die Ermittler beschlagnahmten mehrere Dutzend Server. Zudem nahmen sie fünf Verdächtige fest, darunter der Anführer der Cyberkriminellen, wie die Associated Press berichtet.

Einer Pressemitteilung von Europol zufolge gelang der Schlag gegen die Botnetz-Betreiber erst nach vier Jahren Ermittlungsarbeit. Daran waren hierzulande maßgeblich die Staatsanwaltschaft in Verden sowie die Polizei in Lüneburg beteiligt. In den USA ermittelten die Staatsanwaltschaft in Pennsylvania sowie das Federal Bureau of Investigation. Unterstützung erhielten sie von Strafverfolgern aus 30 Ländern.

An insgesamt 37 durchsuchten Standorten konfiszierten die Ermittler 39 Server. Weitere 221 Server wurden abgeschaltet, nachdem die Behörden die zugehörigen Hosting-Anbieter über den Missbrauch informierten. Auch aufgrund von mehr als 800.000 beschlagnahmten Domains weltweit bezeichnete Europol das Ausmaß der Ermittlungen als „beispiellos“.

Das Avalanche-Botnetz wurde in den vergangenen Jahren vor allem benutzt, um Malware-Angriffe auszuführen und Geldwäsche zu organisieren. Allein in Deutschland soll sich der Schaden durch Cyberangriffe auf Online-Banking-Systeme auf 6 Millionen Euro belaufen. Insgesamt schätzen die Ermittler den weltweit entstandenen Schaden auf mehrere Hundert Millionen Euro. „Genaue Berechnungen sind aufgrund der großen Zahl von Malware-Familien, die über die Plattform verwaltet wurden, schwierig“, teilte Europol mit.

„Avalanche zeigt, dass wir bei der Bekämpfung von Cybercrime nur erfolgreich sein können, wenn wir eng über Grenzen und Fachgebiete hinweg zusammenarbeiten“, kommentierte Julian King, EU-Kommissar für die Sicherheitsunion. „Cybersicherheit und Strafverfolgungsbehörden müssen Hand in Hand mit der Privatwirtschaft arbeiten, um dauerhaft mit neuen kriminellen Methoden fertigzuwerden. Die EU hilft dabei, indem sie die rechtlichen Rahmenbedingungen sicherstellt, die eine solche Kooperation ermöglichen.“

Die Kriminellen setzten das Avalanche-Botnetz Europol zufolge bereits seit 2009 ein, um Malware zu verbreiten oder Spam- und Phishing-E-Mails zu verschicken. Jede Woche seien darüber mehr als eine Million Nachrichten mit gefährlichen Dateianhängen oder Links versandt worden.

Die Ermittlungen begannen 2012, ausgelöst durch eine Windows Encryption Trojan genannte Ransomware, die eine erhebliche Zahl von Computern infizierte. Schätzungsweise umfasste das Botnetz weltweit bis zu 500.000 mit Malware infizierte Computer. Unter anderem wurden die Malware-Familien Goznym, Marcher, Matsnu und Pandabanker mithilfe von Avalanche in Umlauf gebracht.

Lobend stellt Europol auch die Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie heraus. Beide hätten bei der Analyse von 130 TByte gesammelter Daten über Avalanche geholfen, was die Aufschlüsselung der Serverstruktur des Botnets und damit die Abschaltung von tausenden Servern ermöglicht habe.

[mit Material von Zack Whittaker, ZDNet.com]