Europol und weitere Strafverfolger haben mit der "Operation Endgame" bereits 2024 Server beschlagnahmt und ein Botnetz abgeschaltet. Im Rahmen von Folgeermittlungen wurden jetzt fünf Verdächtige verhaftet. Weitere Beschuldigte werden im Rahmen dieser Operation zudem verhört.
Nach der massiven Zerschlagung des Botnetzes mit dem Codenamen "Operation Endgame" im Mai 2024, bei der die größten Malware-Dropper wie IcedID, SystemBC, Pikabot, Smokeloader und Bumblebee ausgeschaltet wurden, versetzten Strafverfolgungsbehörden in Nordamerika und Europa dem Malware-Ökosystem Anfang 2025 einen weiteren Schlag.
Europol hat in einer Pressemitteilung vom 9. April 2025 auf weitere Ergebnisse seine r"Operation Endgame" hingewiesen, die zu fünf Verhaftungen und Verhören sowie zur Abschaltung von Servern führte. Ich bin über nachfolgenden Post auf die Operation aufmerksam geworden.
In einer koordinierten Reihe von Aktionen mussten die Kunden des Smokeloader-Botnetzes, das von dem als "Superstar" bekannten Akteur betrieben wurde, mit Konsequenzen wie Verhaftungen, Hausdurchsuchungen, Haftbefehlen oder „Anklopfen und Gespräche" rechnen.
Superstar nutzte sein Botnetz, um einen Pay-per-Install-Dienst zu betreiben, der es Kunden ermöglichte, Zugang zu den Rechnern der Opfer zu erhalten. Die Kunden nutzten den Dienst, um Schadsoftware für ihre eigenen kriminellen Aktivitäten zu installieren.
Die Ermittlungen ergaben, dass der Botnet-Zugang für eine Reihe von Zwecken erworben wurde, darunter Keylogging, Webcam-Zugang, Einsatz von Ransomware, Kryptomining und mehr. Die Strafverfolgungsbehörden kamen den Kunden auf die Spur, da sie in einer während der Operation Endgame beschlagnahmten Datenbank registriert waren.
Kunden im Visier von Europol
Während die Maßnahmen im Mai 2024 auf hochrangige Akteure abzielten, die Cyberkriminalität begünstigten, indem sie beispielsweise Ransomware einsetzten, zielt diese Folgeoperation auf eine andere Ebene.
Die Strafverfolgungsbehörden gingen und gehen weiterhin gegen die Kriminellen vor, die die während der Operation Endgame abgeschalteten Dienste genutzt haben, und konzentrieren sich auf die Nachfrageseite des kriminellen Ökosystems.
Die Kunden von Crime-as-a-Service-Anbietern müssen nun, laut Europol, die schmerzliche Lektion lernen, dass ihre persönlichen Daten nicht von diesen Cyberkriminellen geschützt wurden.
Die Strafverfolgungsbehörden in allen beteiligten Ländern haben die im Rahmen der Operation Endgame aufgedeckten Spuren verfolgt und konnten so Online-Personen und deren Benutzernamen mit realen Personen in Verbindung bringen. Mehrere Verdächtige, die zur Vernehmung vorgeladen wurden, kooperierten mit den Behörden, indem sie die Untersuchung der auf ihren persönlichen Geräten gespeicherten digitalen Beweise ermöglichten.
Mehrere Verdächtige verkauften die von Smokeloader erworbenen Dienste mit einem Aufschlag weiter, was die Ermittlungen zusätzlich interessant machte. Einige der Verdächtigen waren davon ausgegangen, dass sie nicht mehr im Visier der Strafverfolgungsbehörden stehen. Leider mussten sie dann aber feststellen, dass sie immer noch von Europol verfolgt werden.
Die Operation Endgame geht weiter. Neue Aktionen werden auf der Website operation-endgame.com angekündigt. Jeder, der Informationen hat, wird gebeten, die Behörden über diese Website zu kontaktieren. Darüber hinaus werden, so Europol, die an diesen und anderen Botnetzen beteiligten Verdächtigen, die noch nicht verhaftet wurden, direkt für ihre Taten zur Rechenschaft gezogen.
MVP: 2013 – 2016
