Riesige Razzia: Europol schaltet weltweites Hackernetzwerk aus
Ein russischer Hacker namens „emirking“ brüstete sich damit, dass er mehr als 20 Millionen Zugangscodes zu OpenAI.Konten geklaut habe. (Symbolbild)
Zusammenfassung
- Operation Endgame: Europol schaltete weltweit führende Schadsoftware und 300 Server aus.
- 20 internationale Haftbefehle und Beschlagnahmung von 3,5 Millionen Euro in Kryptowährungen.
- Internationale Zusammenarbeit zur Zerschlagung von Ransomware-Gruppen wie Trickbot und Qakbot.
Es ist einer der bislang größten Schläge gegen die internationale Cyberkriminalität: Wie Europol am Donnerstag mitteilte, ist Ermittlern im Rahmen der Operation Endgame ein massiver Eingriff in globale Strukturen von Ransomware-Gruppen gelungen. Zwischen 19. und 22. Mai wurden bei einer koordinierten Aktion weltweit rund 300 Server vom Netz genommen, 650 Domains neutralisiert und 20 internationale Haftbefehle erlassen. Zudem konnten 3,5 Millionen Euro in Kryptowährungen beschlagnahmt werden.
Das Ziel: die Zerschlagung der aktuell gefährlichsten Schadsoftware-Netzwerke, darunter bekannte Gruppen wie „Trickbot“ und „Qakbot“, die für zahlreiche Erpressungsangriffe auf Unternehmen, Krankenhäuser und Behörden verantwortlich gemacht werden.
Malware aus dem Verkehr gezogen – Täter identifiziert
Nach Angaben des BKA zählen die nun ausgeschalteten Programme zu den einflussreichsten Schadsoftware-Varianten weltweit. Insgesamt 37 Akteure wurden identifiziert, 20 von ihnen werden nun international gesucht – darunter zahlreiche mutmaßliche Mitglieder russischer Herkunft. Ihnen wird unter anderem banden- und gewerbsmäßige Erpressung sowie die Mitgliedschaft in einer kriminellen Vereinigung im Ausland vorgeworfen.
- Bumblebee
- Lactrodectus
- Qakbot
- DanaBot
- Trickbot
- Warmcookie
Diese Programme dienen häufig als sogenannte „Initial Access Tools“ – Werkzeuge also, mit denen sich Hacker zunächst unbemerkt Zugang zu Netzwerken verschaffen, bevor großangelegte Ransomware-Attacken durchgeführt werden. Dabei werden die Daten der Opfer verschlüsselt, um später Lösegeldforderungen zu stellen.
Internationale Zusammenarbeit auf höchstem Niveau
Während der Einsatzwoche wurde im Europol-Hauptquartier in Den Haag ein internationaler Befehlsstand eingerichtet. Ermittler aus Deutschland, Frankreich, Kanada, Dänemark, den Niederlanden, Großbritannien und den USA arbeiteten dort eng mit Cybercrime-Experten von Europol und Eurojust zusammen.
Die nun erfolgte Maßnahme sei laut Europol ein direkter Nachfolger der Anti-Botnet-Operation aus dem Mai 2024. Besonders im Fokus standen diesmal Initial Access Broker – Gruppen oder Einzelpersonen, die kompromittierte Netzwerke an Cyberkriminelle weiterverkaufen. „Wir haben die Quelle der Angriffe getroffen“, erklärte Europol.
Operation noch nicht abgeschlossen
Der kommende IOCTA-Bericht 2025, der am 11. Juni erscheint, soll einen besonderen Schwerpunkt auf diese Broker legen, da sie eine Schlüsselrolle in der globalen Cyberangriffsstruktur spielen.
„Diese Phase zeigt die Fähigkeit der Polizei, sich anzupassen und zurückzuschlagen – auch wenn sich die Kriminellen neu organisieren“, sagte Catherine De Bolle, Exekutivdirektorin von Europol. „Indem wir zentrale Dienste von Ransomware-Gruppen ausschalten, unterbrechen wir die Angriffskette direkt an der Quelle.“
Die Operation Endgame ist laut Europol noch nicht abgeschlossen – die Ermittlungen laufen weiter.
Kommentare