Die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und das Bundeskriminalamt (BKA) haben am 28. und 29.05.2024 in einer international abgestimmten Aktion gemeinsam mit Strafverfolgungsbehörden aus den Niederlanden, Frankreich, Dänemark, Großbritannien, Österreich sowie den USA, unterstützt durch Europol und Eurojust, mehrere der derzeit einflussreichsten Schadsoftware-Familien vom Netz genommen. An den Maßnahmen waren im Rahmen der Internationalen Rechtshilfe zudem die portugiesischen, ukrainischen, schweizerischen, litauischen, rumänischen, bulgarischen sowie armenischen Strafverfolgungsbehörden beteiligt.

Bei den maßgeblich durch die ZIT und das BKA koordinierten Maßnahmen im Zuge der internationalen Operation „Endgame“ wurden weltweit über 100 Server beschlagnahmt sowie über 1.300 kriminell genutzte Domains unschädlich gemacht. Gegen einen identifizierten Betreiber und Administrator wurde ein Vermögensarrest in Höhe von 69 Millionen Euro erwirkt. Zudem wurden 99 Krypto-Wallets mit einem aktuellen Gesamtvolumen in Höhe von mehr als 70 Millionen Euro bei zahlreichen Kryptobörsen gesperrt. Weiterhin wurden 10 internationale Haftbefehle erlassen und vier Personen vorläufig festgenommen. Im Rahmen der Gesamtmaßnahmen fanden Durchsuchungen an insgesamt 16 Objekten in Armenien, den Niederlanden, Portugal und der Ukraine statt, bei denen zahlreiche Beweismittel sichergestellt worden sind. Die bei der Operation Endgame sichergestellten Daten werden derzeit ausgewertet und können zu Anschlussermittlungen führen.

Den „Takedowns“ gingen langwierige und aufwändige Ermittlungen in den beteiligten Staaten voraus. In Deutschland werden die Ermittlungen u. a. wegen Verdachts der banden- und gewerbsmäßigen Erpressung sowie der Mitgliedschaft in einer kriminellen Vereinigung im Ausland geführt.

Ziel der internationalen Operation Endgame ist die nachhaltige Bekämpfung der weltweiten Cybercrime, indem nicht nur gegen einzelne Schadsoftware-Familien vorgegangen wird, sondern Maßnahmen gegen die täterseitig genutzte technische und finanzielle Infrastruktur und gegen die Akteure gleich mehrerer solcher teilweise kollaborierender Tätergruppen gebündelt werden.

Die aktuellen Maßnahmen richteten sich in erster Linie gegen die Gruppierungen hinter den sechs Schadsoftware-Familien IcedID, SystemBC, Bumblebee, Smokeloader, Pikabot und Trickbot, die als sogenannte „Dropper“ mit mindestens 15 Ransomware-Gruppierungen in Verbindung standen. Dropper sind Schadsoftware-Varianten (sogenannte Malware), die zur Erstinfektion genutzt werden und Cyberkriminellen als Türöffner dienen, um unbemerkt Opfersysteme zu infizieren und dann weitere Schadsoftware nachzuladen. Dies geschieht etwa mit dem Ziel, persönliche Daten wie Nutzernamen und Passwörter abzugreifen oder infizierte Systeme beziehungsweise dadurch betroffene Netzwerke im Fall von Ransomware in erpresserischer Absicht zu verschlüsseln.

Der aus deutscher Sicht gefährlichste Dropper war die Schadsoftware Smokeloader, die bereits seit über zehn Jahren existierte und sich fortlaufend weiterentwickelte. Bei den internationalen Maßnahmen wurde die technische Infrastruktur von Smokeloader sowie fünf weiterer Dropperdienste beschlagnahmt und deren Kontrolle von den Strafverfolgungsbehörden übernommen. Damit wurde den Tätern der Zugriff auf tausende Opfersysteme entzogen. Allein das Botnetz von Smokeloader umfasste im Verlauf des vergangenen Jahres mehrere hunderttausend Systeme. Für die Benachrichtigung der Opfer einer Botnetz-Infektion ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) zuständig.

Gegen insgesamt acht Akteure wurden von Deutschland Haftbefehle erlassen. Auf dieser Grundlage fahnden BKA und ZIT gemeinsam nach sieben identifizierten Personen, die im dringenden Verdacht stehen, sich als Mitglied an einer kriminellen Vereinigung zum Zwecke der Verbreitung der Schadsoftware Trickbot beteiligt zu haben. Zudem wird nach einem weiteren Beschuldigten gefahndet, der dringend verdächtig ist, einer der Rädelsführer der Gruppierung hinter der Schadsoftware Smokeloader zu sein. Lichtbilder und Beschreibungen der Beschuldigten können über folgenden Link auf der BKA-Webseite abgerufen werden: www.bka.de/endgame_fahndung

BKA-Vizepräsidentin Martina Link:
„Mit der bislang größten internationalen Cyber-Polizeioperation ist den Strafverfolgungsbehörden ein bedeutender Schlag gegen die Cybercrime-Szene gelungen. Der aktuelle Erfolg stützt sich auf Maßnahmen gegen Infrastrukturen, Akteure und ihre Finanzmittel und ist geeignet, das Vertrauen innerhalb der Underground Economy zu beeinträchtigen. Durch die intensive, internationale Zusammenarbeit konnten gleich sechs der größten Schadsoftware-Familien unschädlich gemacht werden. Wir werden Cybercrime auch weiterhin gemeinsam mit unseren nationalen und internationalen Partnern aktiv entgegenwirken, um den Kriminellen möglichst dauerhaft ihre Arbeitsgrundlage zu entziehen.“

ZIT-Leiter Oberstaatsanwalt Dr. Benjamin Krause:
„Die internationale Kooperation der Strafverfolgungsbehörden zur Bekämpfung von Cybercrime funktioniert und wird ständig fortentwickelt. Denn nur mit gemeinsamen Maßnahmen wie der Beschlagnahme krimineller IT-Infrastruktur und der Abschöpfung kriminell erlangter Finanzmittel können die Verantwortlichen von global tätigen Schadsoftware-Gruppierungen effektiv verfolgt werden.“

Um der Cyberkriminalität nachhaltig zu begegnen, sind personelle Ermittlungen, also die Identifizierung und erfolgreiche Verfolgung von Straftätern, ein wichtiger und effektiver Ansatz. Da sich Cyberkriminelle jedoch oftmals im Ausland aufhalten und von einigen Ländern geduldet oder sogar geschützt werden, bleiben sie für die deutschen Strafverfolgung oftmals unerreichbar.

Daher sind die Maßnahmen der deutschen Strafverfolgungsbehörden ebenfalls darauf ausgerichtet, die Infrastruktur der Cyberkriminellen zu schwächen und zu zerschlagen. Durch diesen Infrastrukturansatz konnten der Underground Economy in jüngster Vergangenheit teils beträchtliche Finanzmittel entzogen werden. Außerdem wurden IT-Systeme und Daten sichergestellt, die zu weiteren Ermittlungsansätzen geführt haben.

So ist es 2023 etwa gelungen, die Serverinfrastruktur des weltweit umsatzstärksten Krypto-Mixers im Darknet, ChipMixer, zu beschlagnahmen und umgerechnet rund 90 Millionen Euro sicherzustellen Darüber hinaus wurde die Infrastruktur mehrerer krimineller Marktplätze beschlagnahmt – darunter Kingdom Market. Zudem konnte die Schadsoftware Qakbot in 2023 und Emotet in 2021 vom Netz genommen werden. Beide zählten zu den Top-Bedrohungen aus dem Cyberraum und verursachten weltweit Schäden in Höhe von mehreren hundert Millionen Euro.

Weitere Informationen zur Operation Endgame sowie eine digitale Pressemappe finden Sie auf der BKA-Webseite unter: www.bka.de/Endgame
Bewegtbildmaterial kann Ihnen die Pressestelle des BKA auf Anfrage zur Verfügung stellen.

Darüber hinaus sind Informationen für Opfer der Schadsoftware Smokeloader auf der BKA- Webseite abrufbar: www.bka.de/Smokeloader

Die Operation Endgame wird fortgesetzt. Über die Webseite der internationalen polizeilichen Partner werden fortlaufend Informationen bereitgestellt: www.operation-endgame.com