Unter Leitung deutscher Behörden wurden in der „Operation Endgame“ über 100 Server beschlagnahmt, über 1.300 kriminell genutzte Domains unschädlich gemacht, von einem Betreiber 69 Millionen Euro eingefroren sowie 99 Krypto-Wallets mit einem Gesamtvolumen in Höhe von mehr als 70 Millionen Euro gesperrt.
Der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) und dem Bundeskriminalamt (BKA) ist in Zusammenarbeit mit Europol und zahlreichen nationalen Polizeibehörden Aktion ein großer Schlag gegen Cyberkriminelle gelungen. Ziel der “Operation Endgame” genannten Aktion war laut BKA “die Zerschlagung der relevantesten Schadsoftwarefamilien der Kategorie Initial Access Malware (sogenannte Dropper oder Loader).” Derartige Schadsoftware wird in der Regel via Spam-E-Mails verbreitet und ist darauf spezialisiert, Systeme unbemerkt zu infizieren und sie unter die Kontrolle der Angreifer zu bringen.
Die aktuellen Maßnahmen richteten sich laut BKA in erster Linie gegen die Gruppierungen hinter sechs Schadsoftware-Familien: IcedID, SystemBC, Bumblebee, Smokeloader, Pikabot und Trickbot. Die wiederum werden von mindestens 15 Ransomware-Gruppierungen genutzt. Der aus deutscher Sicht gefährlichste Dropper war die Schadsoftware Smokeloader (auch als “Dofoil” bezeichnet). Sie existiert bereits seit über zehn Jahren und entwickelte sich fortlaufend weiter.
“Allein das Botnetz von Smokeloader umfasste im Verlauf des vergangenen Jahres mehrere hunderttausend Systeme”, erklärt das BKA. BKA-Vizepräsidentin Martina Link: „Mit Endgame ist den Behörden ein historischer Schlag gegen die global agierende Cybercrime-Szene gelungen. Durch die intensive Zusammenarbeit konnten gleich sechs Schwergewichte der Schadsoftware-Landschaft aus dem Verkehr gezogen werden.“
So berichten unter anderem heise.de, golem.de und Channelpartner.
Dazu ein Kommentar von Jörn Koch, VIPRE Security Group:
„Gerade was aggressive Malware wie Pikabot anbelangt, deckt sich das mit den Analysen der Sicherheitsforscher bei VIPRE. Bereits Anfang des Jahres hatten sie Angriffe insbesondere auf Länder wie Großbritannien und Norwegen beobachtet und darauf hingewiesen, dass diese sich wahrscheinlich auf andere europäische Länder ausdehnen. Dabei handelt es sich nicht um das Versenden von einfachen Spam-Mails. Die Angriffe sind so konzipiert, dass sie gezielt Informationen auslesen. Darüber hinaus sammelt Pikabot Netzwerkdaten des PCs, um sich mithilfe der Daten seitwärts im Netz fortzubewegen und gegebenenfalls weitere Rechner zu befallen. Laut den Ergebnissen “Q1 2024 Email Threat Trends” Reports werden bei E-Mail-Phishing-Kampagnen inzwischen in 75 % aller Fälle Links verwendet, 24 % bevorzugen weiterhin Anhänge und 1 % verwendet QR-Codes.
Cyberkriminelle verwenden bei ihren Phishing-Angriffen auch eine Reihe neuer Taktiken. Dazu zählen.ics-Kalendereinladungen und Anhänge im .rtf-Dateiformat. Alle mit dem einen Ziel, den Empfänger zum Öffnen verseuchter Inhalte zu verleiten. Malware wird zunehmend in Cloud-Speicherplattformen wie Google Drive versteckt. Die Verwendung von Malware-basierten E-Mails mit Anhängen ist im ersten Quartal 2024 auf 22 % gestiegen, gegenüber von lediglich 3 % im ersten Quartal 2023.
Aufgrund der Lücke, die die zerschlagene Qakbot-Malware-Familie hinterlassen hat, konnte sich Pikabot als neuer Spitzenreiter herauskristallisieren.
Die konzertierte Aktion „Operation Endgame“ ist beispiellos, und man darf auf die Analyse der beschlagnahmten Daten gespannt sein. Kriminelle nutzen das Medium E-Mail äußerst erfolgreich für betrügerische Zwecke, um Netzwerke zu infiltrieren und um schädliche Payloads zu verbreiten. Wir beobachten, dass Cyberkriminelle menschliche Schwachstellen und Softwarefehler gleichermaßen ausnutzen und E-Mail-Gateways sowie andere Sicherheitsmaßnahmen mit alarmierender Präzision umgehen. Robuste Schutzmaßnahmen für die E-Mail-Kommunikation und Endpoints, gepaart mit einer wachsamen menschlichen Verteidigungslinie, bleiben vor nach wie vor eine unserer wirksamsten Maßnahmen.“
(vp/VIPRE Security Group)