[English]Strafverfolger haben die Woche in der Operation Endgame 300 Server und 650 Domänen, die für Ransomware-Angriffe genutzt wurden, beschlagnahmt. Damit wurden Netzwerke von Cyberkriminellen zerschlagen, Gelder eingezogen und wohl auch einige Verdächtige verhaftet. Mit der Aktion Raptor und mit DANABOT wurden weitere Aktionen gegen Cyberkriminelle durchgeführt. Hier eine Übersicht.
Anzeige
Operation Endgame – neue Aktionen
Im April 2025 hatte ich bereits im Beitrag Europol-Operation Operation Endgame: Botnetz abgeschaltet, Verdächtige verhaftet über einige Aktionen gegen Botnetze berichtet. Und im Mai 2024 gab es ebenfalls eine Aktion (siehe Operation Endgame: 911 S5 Botnet zerschlagen; Administrator in internationaler Operation verhaftet). Nun ist die nächste Operation durchgeführt worden.
Laut dieser Meldung wurde die weltweite Operationsmöglichkeit von Cyberkriminellen erheblich gestört. In einer von Europol und Eurojust koordinierten Aktion zerlegten Strafverfolgungs- und Justizbehörden die zentrale Infrastruktur, die für Ransomware-Angriffe von verschiedenen Gruppen verwendet wurden.
Vom 19. bis 22. Mai schalteten die Behörden in der Operation Endgame weltweit etwa 300 Server ab, neutralisierten 650 Domänen und erließen internationale Haftbefehle gegen 20 Zielpersonen, was einen direkten Schlag gegen die Ransomware-Kill-Chain bedeutete.
Darüber hinaus wurden während der Aktionswoche 3,5 Millionen Euro in Kryptowährung beschlagnahmt, womit sich der im Rahmen der Operation Endgame beschlagnahmte Gesamtbetrag auf 21,2 Millionen Euro erhöht.
Anzeige
Diese jüngste Phase der Operation ENDGAME schließt sich an die bisher größte internationale Aktion gegen Botnets im Mai 2024 an. Sie richtete sich gegen neue Malware-Varianten und Nachfolgegruppen, die nach der Zerschlagung im letzten Jahr wieder aufgetaucht waren.
Bleeping Computer hat hier noch eine Einordnung vorgenommen. Dort wird auch erwähnt, dass das US-Justizministerium juristische Schritte gegen 16 Beschuldigte einer russischen Cyber-Gang, die die DANABOT-Malware verwendet, eingeleitet habe.
Vorgehen gegen DANABOT
Bei DANABOT hat das US-Justizministerium eine Anklageschrift gegen russische Staatsangehörige veröffentlicht, denen die Entwicklung, Verwaltung und der Betrieb der Malware-as-a-Service (MaaS) DanaBot vorgeworfen wird.
ZScaler bietet auf GitHub einen DANABOT-Detector an, und hat in diesem Blog-Beitrag eine detaillierte DANABOT-Analyse veröffentlicht.
Ergänzung: Auch CrowdStrike unterstützte den DanaBot-Takedown, und enthüllt Verbindungen zwischen eCrime und Russland-nahen Bedrohungsakteuren. DANABOT wird von CrowdStrike als SCULLY SPIDER bezeichnet. Es handelt sich um eine in Russland beheimatete eCrime-Gruppe.
DanaBot ist seit 2018 aktiv und hat sich von einem Banking-Trojaner zu einer mietbaren Botnet-Plattform entwickelt, die für Cyberkriminalität, Spionage und DDoS-Angriffe genutzt wird. Dies umfasst auch auch Aktivitäten, die gegen ukrainische Einrichtungen gerichtet sind.
Die Sub-Botnets 24 und 25 weisen Verbindung zum russischen Geheimdienst auf, was verdeutlicht, wie Cyberkriminalitätsinfrastrukturen für staatlich unterstützte Operationen umfunktioniert werden können.
Obwohl SCULLY SPIDER offen von Russland aus operierte, gab es kaum innerstaatliche Strafverfolgungsmaßnahmen – ein Muster, das auf Toleranz oder eine stellvertretende Nutzung durch den Kreml hindeutet.
CrowdStrike unterstützte den Takedown durch die Bereitstellung von Threat Intelligence, Infrastrukturanalysen und Einblicken in die technischen Abläufe der Gruppe. CrowdStrike hat einen Blog-Beitrag veröffentlicht, in dem die Taktiken von SCULLY SPIDER und die Bedeutung der Aktion der US-Justiz in Bezug auf die Schwächung der Cyberfähigkeiten russischer Verbündeter detailliert beschrieben werden.
Operation Raptor
Weiterhin gab es die Operation Raptor, bei der Strafverfolger globale Razzien durchführten. Von den Strafverfolgungsbehörden wurden weltweit 270 Personen im Rahmen dieser Operation RapTor verhaftet. Es handelt sich um eine große und umfassende Aktion gegen illegale Aktivitäten auf Dark-Web-Marktplätzen.
Die Operation, die sowohl auf Verkäufer als auch auf Käufer abzielte, die in den Handel mit illegalen Waren verwickelt waren, erstreckte sich über mehrere Länder. Die meisten Verhaftungen gab es in den folgenden Regionen:
- Vereinigte Staaten – 130 Verhaftungen
- Deutschland – 42
- Vereinigtes Königreich – 37
- Frankreich – 29
- Südkorea – 19
Weitere 13 Verhaftungen gab es in den Niederlanden, Österreich, Brasilien, Spanien und der Schweiz. Die koordinierte Aktion soll das wachsende internationale Engagement bei der Zerschlagung von Dark-Web-Netzwerken unterstreichen. Die Behörden signalisieren, dass Anonymität im Internet kein Schutz vor der Justiz ist.
Anzeige
[Zitat]
Sie richtete sich gegen neue Malware-Varianten und Nachfolgegruppen, die nach der Zerschlagung im letzten Jahr WIEDER aufgetaucht waren.
[/Zitat]
[Zitat]
Die Behörden signalisieren, dass Anonymität im Internet kein Schutz vor der Justiz ist.
[/Zitat]
Wie war das doch gleich mit der Hydra?