Vor ziemlich genau einem Jahr gelang dem BKA und seinen internationalen Partnern mit der Operation Endgame ein großer Schlag gegen die weltweite Cyberkriminalität. Jetzt haben die Ermittlerinnen und Ermittler die zweite Phase eingeläutet: Vor wenigen Tagen wurden die derzeit einflussreichsten Schadsoftware-Varianten vom Netz genommen und dahinterstehende Täter identifiziert.

Hier handelt es sich in einem Großteil der Fälle um russische Staatsangehörige, die nun mit internationalem Haftbefehl gesucht werden. Von den insgesamt 37 identifizierten Akteuren haben BKA und ZIT gemeinsam gegen 20 Akteure internationale Haftbefehle erwirkt. Zu 18 Beschuldigten, mutmaßliche Mitglieder der Gruppierungen „Trickbot“ und „Qakbot“, fahnden BKA und ZIT öffentlich.

Aktuelle Erfolgsbilanz

BKA-Angaben zufolge gingen den aktuellen Maßnahmen aufwändige Ermittlungen in den beteiligten Staaten voraus. In Deutschland werden die Ermittlungen unter anderem wegen des Verdachts der banden- und gewerbsmäßigen Erpressung sowie der Mitgliedschaft in einer kriminellen Vereinigung im Ausland geführt, so das BKA weiter.

Bei den international koordinierten Maßnahmen der Operation Endgame 2.0 hätten die Sicherheitsbehörden in dieser Woche weltweit insgesamt 37 Akteure identifiziert und 20 internationale Haftbefehle erlassen. Zudem seien rund 300 Server dem Zugang der Täter entzogen worden, davon 50 in Deutschland. Darüber hinaus habe man Kryptowährung (Bitcoin) im Gesamtwert von derzeit umgerechnet 3,5 Millionen Euro sichergestellt und rund 650 Domains unschädlich gemacht, so das BKA weiter.

Diese Erfolge hätten die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität ( ZIT ) – und das Bundeskriminalamt ( BKA ) gemeinsam mit Strafverfolgungsbehörden aus den Niederlanden, Frankreich, Dänemark, Großbritannien, Kanada und den USA sowie mit Unterstützung durch Europol und Eurojust erzielt.

Endgame-Strategie

Laut BKA ist es das Ziel der Operation Endgame, den Angriff der Cyberkriminellen bereits im ersten Glied der Angriffskette zu stoppen, nämlich bei der Erstinfektion – auch „Initial Access Malware“ genannt. Für die Erstinfektion nutzen die Täter meist sogenannte Dropper oder Loader. Diese Schadsoftware-Varianten dienen den Cyberkriminellen als „Türöffner“, um die Systeme unbemerkt zu infizieren. Nun steht den Tätern die Tür offen, um weitere schädlichen Programme zu installieren. Ihr Ziel: Daten ausspähen oder das System verschlüsseln, um Lösegeld zu erpressen.

Am wenigsten anrichten können die Cyberkriminellen, so ist sich das BKA sicher, wenn man sie – bildlich gesprochen – bereits daran hindert, durch diese erste Tür zu gehen. Daher setzen die Sicherheitsbehörden unmittelbar am Anfang der Angriffskette – auch Kill Chain genannt – an. Durch „stetige, gebündelte Maßnahmen gegen die Täter und die Infrastruktur der Gruppierungen“ soll das Geschäftsmodell der Cyberkriminellen „Cybercrime–as–a-service“ an der Wurzel geschädigt und somit nachhaltig zerstört werden, so das BKA weiter.

Öffentlichkeitsfahndungen

Die aktuellen Maßnahmen richteten sich gegen die Gruppierungen und Schadsoftware-Varianten Bumblebee, Latrodectus, Qakbot, DanaBot, HijackLoader, Warmcookie und Trickbot. Gegen 18 mutmaßliche Mitglieder der Gruppierungen „Trickbot“ und „Qakbot“, fahnden BKA und ZIT öffentlich, unterstützt auch durch Europol und Interpol .

Lichtbilder und Beschreibungen der Beschuldigten können über folgenden Link abgerufen werden: www.bka.de/endgame_fahndung. Auf der Fahndungsseite sind auch die Fahndungen der Maßnahmen von letztem Jahr zu finden.