Bei einem länderübergreifenden Polizeieinsatz sind sechs der wichtigsten Schadsoftware-Gruppen vom Netz genommen worden. Vier Verdächtige seien im Rahmen der Operation Endgame festgenommen und zehn internationale Haftbefehle ausgestellt worden, teilte das deutsche Bundeskriminalamt (BKA) am Donnerstag mit. "Mit der bislang größten internationalen Cyberpolizeioperation ist den Strafverfolgungsbehörden ein bedeutender Schlag gegen die Cybercrimeszene gelungen", erklärte BKA-Vizepräsidentin Martina Link.

Die Ermittler sprechen vom größten Schlag gegen Cyberkriminelle: Bei einem koordinierten Einsatz in mehreren Ländern sind weltweit mehr als 100 Server beschlagnahmt und 1300 Domains außer Betrieb gesetzt worden. Das teilten die Generalstaatsanwaltschaft Frankfurt am Main und das deutsche Bundeskriminalamt (BKA) am Donnerstag mit. Auch österreichische Behörden waren an der Aktion beteiligt.

Das Logo von Operation Endgame.
BKA Deutschland

Täter für zahlreiche Malwares verantwortlich

Der Einsatz habe sich vor allem gegen die Gruppierungen hinter den sechs Schadsoftware-Familien "IcedID", "SystemBC", "Bumblebee", "Smokeloader", "Pikabot" und "Trickbot" gerichtet. Wie das BKA weiter mitteilte, dienten die sechs Schadsoftware-Familien im Fokus des internationalen Einsatzes Cyberkriminellen als "Türöffner", um angegriffene Computersysteme mit weiterer Schadsoftware zu infizieren. Ziel solcher Angriffe war es demnach unter anderem, persönliche Daten wie Nutzernamen und Passwörter abzugreifen – oder die angegriffenen Systeme oder Netzwerke mit sogenannter Ransomware zu verschlüsseln. Bei Angriffen mit Ransomware verschlüsseln Hacker die Daten von betroffenen Unternehmen, Privatleuten oder Behörden und verlangen dann ein Lösegeld zur Freigabe der Daten.

Betroffen waren nämlich auch heimische Domains, wie der Sprecher des Bundeskriminalamts, Heinz Holub-Friedreich, auf APA-Anfrage mitteilte. Die Experten führten Umfeldermittlungen durch, um die Informationen aus Deutschland zu prüfen und Amtshilfe zu leisten. Gegen einen Serverbetreiber wurde dem deutschen BKA zufolge ein Vermögensarrest im Umfang von 69 Millionen Euro erwirkt, zudem sei Kryptowährung im Wert von mehr als 70 Millionen Euro gesperrt worden.

Der Einsatz habe sich vor allem gegen die Gruppierungen hinter den sechs Schadsoftwarefamilien "IcedID", "SystemBC", "Bumblebee", "Smokeloader", "Pikabot" und "Trickbot" gerichtet. Der Dropper "Trickbot" etwa wurde unter anderem in den USA für Angriffe auf Krankenhäuser und Gesundheitszentren während der Coronapandemie genutzt. Wie viele Opfer insgesamt im Visier der nun zerschlagenen Gruppierungen standen, kann laut Europol erst nach Auswertung der beschlagnahmten Server festgestellt werden.

Vier Festnahmen, zehn Haftbefehle

Wie das deutsche BKA weiter mitteilte, dienten die sechs Schadsoftwarefamilien im Fokus des internationalen Einsatzes Cyberkriminellen als "Türöffner", um angegriffene Computersysteme mit weiterer Schadsoftware zu infizieren. Ziel solcher Angriffe war es demnach unter anderem, persönliche Daten wie Nutzernamen und Passwörter abzugreifen – oder die angegriffenen Systeme oder Netzwerke mit sogenannter Ransomware zu verschlüsseln. Bei Angriffen mit Ransomware verschlüsseln Hacker die Daten von betroffenen Unternehmen, Privatleuten oder Behörden und verlangen dann ein Lösegeld zur Freigabe der Daten.

Bei den von deutschen Behörden koordinierten Maßnahmen wurden den Angaben zufolge zehn internationale Haftbefehle erlassen und vier Menschen vorläufig festgenommen. Gegen acht Akteure seien von Deutschland Haftbefehle erlassen worden. Auf dieser Grundlage werde nach sieben Menschen gefahndet, die im dringenden Verdacht stünden, "sich als Mitglied an einer kriminellen Vereinigung zum Zwecke der Verbreitung der Schadsoftware Trickbot beteiligt zu haben", teilten die Ermittler weiter mit.

In Armenien und der Ukraine wurden insgesamt vier Verdächtige festgenommen. Acht weitere Verdächtige sollen laut Europol auf die EU-weite Liste der meistgesuchten Verbrecher gesetzt werden. Koordiniert wurde der "Endgame"-Einsatz vom Europol-Sitz in Den Haag aus.

Weitere Ermittlungen denkbar

Bei dem Einsatz am Dienstag und Mittwoch gab es den Angaben zufolge Durchsuchungen in insgesamt 16 Objekten in Armenien, den Niederlanden, Portugal und der Ukraine, bei denen zahlreiche Beweismittel sichergestellt worden seien. Die dabei sichergestellten Daten würden derzeit ausgewertet und könnten zu weiteren Ermittlungen führen.

An der Aktion waren demnach Strafverfolger aus den Niederlanden, Frankreich, Dänemark, Großbritannien, Österreich sowie den USA beteiligt. Unterstützt wurden sie von der Polizeibehörde Europol und der Agentur der Europäischen Union für justizielle Zusammenarbeit in Strafsachen. Der Einsatz sei gezielt vor den Olympischen Spielen in Paris ausgeführt worden, sagte der Leiter der französischen Einheit zur Cyberkriminalitätsbekämpfung, Nicolas Guidoux, der AFP. Es sei wichtig, die Infrastruktur der Cyberkriminellen vor diesem "Weltereignis" zu schwächen. (Reuters, APA, 30.5.2024)