Krimineller DDoS-Service stillgelegt

Ermittlungsbehörden haben den weltweit größten Service geschlossen, der DDoS-Angriffe gegen Bezahlung durchführte. Das US-Justizministerium beschlagnahmte die dafür genutzte Domain Webstresser.org. An den koordinierten Ermittlungen, die als „Operation Power OFF“ liefen, waren über ein Dutzend Polizeibehörden verschiedener Länder beteiligt.

Laut Europol war Webstresser.org der weltgrößte Marktplatz für DDoS-Angriffe gegen Bezahlung, der mehr als 136.000 registrierte Nutzer hatte. Bis April 2018 sollen von ihm nachweislich 4 Millionen Angriffe ausgegangen sein, mit denen etwa Online-Angebote von Banken und Behörden lahmgelegt wurden. Ins Visier eines mietbaren Distributed Denial of Service (DDoS) gerieten häufig auch Unternehmen der Spielebranche.

Wer eine solche Attacke in Auftrag gab, musste selbst nicht über nennenswerte technische Kenntnisse verfügen. Vielmehr konnte jeder registrierte Nutzer selbst für einen relativ bescheidenen Betrag, zu entrichten über Online-Bezahlsysteme oder Kryptowährungen, für verheerende Angriffe sorgen. Wer eine Website unerreichbar machen oder einen Online-Service stören wollte, war schon ab 15 Euro monatlich dabei.

Die Administratoren der kriminellen DDoS-Dienstleister wurden in Großbritannien, Kroatien, Kanada und Serbien ermittelt. Maßnahmen galten aber auch den intensivsten Nutzern des Marktplatzes in den Niederlanden, Italien, Spanien, Kroatien, Großbritannien, Australien, Kanada und Hongkong. Genutzte Infrastruktur wurde in den Niederlanden, den USA und auch in Deutschland beschlagnahmt.

Die Ermittlungen wurden von der Dutch National High Tech Crime Unit (NHTCU) und der UK National Crime Agency angestoßen, koordiniert wurden die Zugriffe durch die Europol-Zentrale in Den Haag. Während die Polizeibehörden keine weiteren Angaben zu den verhafteten Webstresser-Administratoren machten, brachte der Blog zum Thema IT-Sicherheit Krebs on Security mehr in Erfahrung. Demnach stand hinter Webstresser.org vor allem ein 19-jähriger Serbe namens Jovan Mirkovic, auch bekannt unter seinem Hackernamen „m1rk“ sowie als „Mirkovik Babs“ auf Facebook. Im Social Network soll dieser offen über seine Rolle bei der Programmierung und Organisation des DDoS-Service geplaudert haben.

Von der Webstresser-Stillegung sollen auch weitere Anbieter wie Powerboot.net oder Fruitstresser.com betroffen sein, die praktisch als Wiederverkäufer dessen DDoS-Service zugänglich machten. Die Szene könnte sich allerdings schon bald wieder von dem Schlag erholen, wie Brian Krebs ausführt, der für seine investigativen Recherchen bekannt ist – und
dessen Blog selbst schon wochenlang durch umfangreiche Denial-of-Service-Angriffe unerreichbar gemacht wurde. Ihm zufolge operieren Dutzende weitere Services dieser Art – und fast jeden Monat kommen neue hinzu.