Operation Endgame: 911 S5 Botnet zerschlagen; Administrator in internationaler Operation verhaftet

Sicherheit (Pexels, allgemeine Nutzung)Internationale Strafverfolger haben zwischen dem 27. und 29. Mai 2024 einen Schlag gegen das 911 S5 Botnet durchgeführt. Es soll die größte Operation aller Zeiten gewesen sein, die unter dem Namen Endgame lief. Fokus der Operation war die die Verhaftung von Schlüsselpersonen, die Zerschlagung krimineller Infrastrukturen und das Einfrieren illegaler Erlöse, wodurch das globale Dropper-Ökosystem erheblich beeinträchtigt wurde. Ein Operator konnte verhaftet werden, 8 Personen sind flüchtig.


Anzeige

Ich bin auf X gleich über mehrere Tweets auf die Verlautbarungen der internationalen Strafverfolger (FBI, Europol) gestoßen. Das US-Justizministerium hat hier eine Information veröffentlicht, Europol schreibt hier was zur Operation.

Endgame: 911 S5 Botnet dismantled

Das 911 S5 Botnet

Das 911 S5 Botnet infizierte über 19 Millionen IP-Adressen (Geräte) und ermöglichte so Betrug in Milliardenhöhe. Cyberkriminelle nutzten dann von 911 S5 erworbene Proxy-IP-Adressen, um ihre wahren IP-Adressen und Standorte zu verschleiern und anonym eine breite Palette von Straftaten zu begehen. Zu diesen Straftaten gehören Finanzkriminalität, Stalking, die Übermittlung von Bombendrohungen und Schadensdrohungen, der illegale Export von Waren sowie der Empfang und Versand von Material zur Ausbeutung von Kindern.

Seit 2014 soll 911 S5 es Cyberkriminellen ermöglicht haben, die Erkennungssysteme für Finanzbetrug zu umgehen und Milliarden von Dollar von Finanzinstituten, Kreditkartenherausgebern und staatlichen Kreditprogrammen zu stehlen. 911 S5-Kunden sollen es auf bestimmte Pandemie-Hilfsprogramme abgesehen haben.

Die Vereinigten Staaten schätzen beispielsweise, dass 560.000 betrügerische Arbeitslosenversicherungsanträge von kompromittierten IP-Adressen aus gestellt wurden, was zu einem bestätigten betrügerischen Verlust von über 5,9 Milliarden Dollar führte. Darüber hinaus schätzen die Vereinigten Staaten bei der Bewertung des mutmaßlichen Betrugsschadens für das Economic Injury Disaster Loan (EIDL)-Programm, dass mehr als 47.000 EIDL-Anträge von IP-Adressen ausgingen, die durch 911 S5 kompromittiert wurden. Weitere Millionen von Dollar wurden von Finanzinstituten in den Vereinigten Staaten als Verluste identifiziert, die von IP-Adressen stammen, die durch 911 S5 kompromittiert wurden.

Die 911 S5 Client Interface Software, die auf Servern in den USA gehostet wurde, ermöglichte es Cyberkriminellen, die sich außerhalb der Vereinigten Staaten befanden, mit gestohlenen Kreditkarten oder kriminellen Erträgen Waren zu kaufen und diese entgegen den US-Ausfuhrgesetzen, wie den Export Administration Regulations (EAR), illegal in Länder außerhalb der Vereinigten Staaten zu exportieren.

Die 911 S5 Client-Schnittstelle kann auch Verschlüsselungs- oder andere Funktionen enthalten, die den Exportkontrollen der EAR unterliegen. Dementsprechend kann das Herunterladen der 911 S5 Client Interface Software durch bestimmte ausländische Staatsangehörige ohne Lizenz einen Verstoß gegen die EAR darstellen schreibt das US-Justizministerium. Europol beschreibt hier noch die Funktion der von der Gruppe benutzten Dropper.

Operation Endgame

Zwischen dem 27. und 29. Mai 2024 richtete sich die von der Europol-Zentrale koordinierte Operation Endgame gegen Dropper wie IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee und Trickbot. Die Aktionen konzentrierten sich auf die Unterbrechung der kriminellen Dienste durch die Verhaftung von hochrangigen Zielpersonen, die Zerschlagung der kriminellen Infrastrukturen und das Einfrieren illegaler Erlöse.


Anzeige

Dieser Ansatz hatte globale Auswirkungen auf das Ökosystem der Dropper. Die Malware, deren Infrastruktur während der Aktionstage ausgeschaltet wurde, erleichterte Angriffe mit Ransomware und anderer Schadsoftware. Im Anschluss an die Aktionstage werden acht flüchtige Personen, die mit diesen kriminellen Aktivitäten in Verbindung stehen und von Deutschland gesucht werden, am 30. Mai 2024 in die Liste der meistgesuchten Personen Europas aufgenommen. Die Personen werden wegen ihrer Beteiligung an schweren Cyberkriminalitätsaktivitäten gesucht.

Dies war laut Europol die bisher größte jemals durchgeführt Operation gegen Botnetze, die eine wichtige Rolle bei der Verbreitung von Ransomware spielen. Die von Frankreich, Deutschland und den Niederlanden initiierte und geleitete Operation wurde auch von Eurojust unterstützt und umfasste Dänemark, das Vereinigte Königreich und die Vereinigten Staaten.

Darüber hinaus unterstützten Armenien, Bulgarien, Litauen, Portugal, Rumänien, die Schweiz und die Ukraine die Operation mit verschiedenen Maßnahmen wie Verhaftungen, Vernehmungen von Verdächtigen, Durchsuchungen und Beschlagnahmungen oder Abschaltungen von Servern und Domänen.

Die Operation wurde auch von einer Reihe von privaten Partnern auf nationaler und internationaler Ebene unterstützt, darunter Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus und DIVD. Die koordinierten Aktionen führten zu:

  • 4 Verhaftungen (1 in Armenien und 3 in der Ukraine)
  • 16 Standortdurchsuchungen (1 in Armenien, 1 in den Niederlanden, 3 in Portugal und 11 in der Ukraine)
  • Über 100 Server in Bulgarien, Kanada, Deutschland, Litauen, den Niederlanden, Rumänien, der Schweiz, dem Vereinigten Königreich, den Vereinigten Staaten und der Ukraine abgeschaltet oder gestört
  • Über 2 000 Domains befinden sich jetzt unter der Kontrolle der Strafverfolgungsbehörden

Darüber hinaus wurde bei den bisherigen Ermittlungen festgestellt, dass einer der Hauptverdächtigen mindestens 69 Millionen Euro in Kryptowährung verdient hat, indem er kriminelle Infrastrukturen für die Verbreitung von Ransomware vermietet hat. Die Transaktionen des Verdächtigen werden ständig überwacht, und es wurde bereits die rechtliche Genehmigung eingeholt, diese Vermögenswerte bei künftigen Aktionen zu beschlagnahmen.

Die Operation Endgame läuft weiter und neue Aktionen sollen auf der Website Operation Endgame angekündigt werden. Darüber hinaus werden Verdächtige, die an diesen und anderen Botnetzen beteiligt sind und noch nicht verhaftet wurden, von den internationalen Strafverfolgern auf Fahndungslisten geführt und sollen für ihre Taten zur Rechenschaft gezogen werden. Verdächtige und Zeugen finden auf der Website Informationen darüber, wie sie sich melden und ggf. stellen können.

Ergänzung: Das BKA hat eine Fahndungsliste nach Verdächtigen online gestellt.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Operation Endgame: 911 S5 Botnet zerschlagen; Administrator in internationaler Operation verhaftet

  1. Anonymous sagt:

    "Hydra, Hydra, wie viele Arme kannst du dir nachwachsen lassen?"
    Hydra: "Ja!"

  2. 1ST1 sagt:

    Merkwürdig, bei Heise geht es auch um die Zerschlagung von 911 S5, aber dort sind es irgendwie ganz andere Akteure. https://www.heise.de/news/Groesstes-Botnetz-der-Geschichte-911-S5-Verdaechtiger-verhaftet-9740946.html Wichtig ist dort ein Link auf eine Seite beim FBI, mit der man seine eigenen Systeme auf Kompromittierung mit der Proxy-Software dieses Betrughsnetzwerkes prüfen soll. https://web.archive.org/web/20240605000909/https://www.fbi.gov/investigate/cyber/how-to-identify-and-remove-vpn-applications-that-contain-911-s5-backdoors

    • Fritz sagt:

      Jeder wird seinen Teil herausstellen, sich als federführend präsentieren und ansonsten mit Details bedeckt halten.

      Für das FBI war halt der in Singapur verhaftete Chinese der "große Fang", für Europol die Ukrainer.

  3. Essi sagt:

    Waren es nicht Köpfe?

  4. Gigabernie sagt:

    Das ist ein Sisyphos Job.
    Andererseits kann man ja nicht einfach tatenlos rumstehen.
    GOOD JOB!

  5. Chris sagt:

    Immer liest man in solchen Fällen was von der Ukraine.
    Man sollte weitere Unterstützung für die Ukraine daran koppeln das Ransomware Angriffe gegenüber "Verbündeten" mit Militärdienst im Kampf gegen Russland bestraft wird. Angefangen vom kleinen Helfer bis zu den Vernatwortlichen die Hosting ermöglichen.

    • Fritz sagt:

      Eine Zeitlang (vor dem Krieg) war die Ukraine auch bei seriösen Firmen für den Anwendungsfall "Wir brauchen einen RZ-Standort möglichst in der Nähe, aber außerhalb des Rechtsraumes der EU" sehr beliebt.

      Vorteile waren wohl insbesondere
      – halbwegs zivilisiertes und politisch stabiles Land
      – stabile Stromversorgung und sonstige Infrastruktur
      – Fachkräfte (remote Hands) vor Ort gut verfügbar

      Ich kenne einige Firmen, die dort Technik aufgestellt haben und Daten dorthin spiegeln.

    • Luzifer sagt:

      Naja Putin behauptete Ja das in der Ukraine Nazis und Kriminelle das sagen haben… da lügte er mal nicht, nur ist das in Russland ja nicht anders (bis auf die Nazis) ;-P
      Ist jetzt numal keine Neue Erkenntnis.

      *******************************
      aber außerhalb des Rechtsraumes der EU
      *******************************
      naja um Datenschutz ging es da aber nicht ;-P

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.