ZKI Lüneburg an Aktion gegen Botnetz "Avalanche" beteiligt – PC-Nutzer müssen Schadsoftware selbst löschen
Lüneburg, 02.12.2016 - Die Cybercrime-Spezialisten der Zentralen Kriminalinspektion (ZKI) Lüneburg waren an einem erfolgreichen Schlag gegen die internationale Cyber-Kriminalität beteiligt. Am Mittwoch konnten in einer international koordinierten Aktion mutmaßliche Führungsmitglieder einer kriminellen Vereinigung verhaftet werden. Durch die gleichzeitig erfolgte Beschlagnahme von 39 Servern und mehreren hunderttausend Domains wurde den Tatverdächtigen allein in Deutschland die Kontrolle über mehr als 50.000 Opfer-Computer entzogen.
Nach über vier Jahren intensiver Ermittlungsarbeit der Cybercrime-Spezialisten der Zentralen Kriminalinspektion Lüneburg und der Staatsanwaltschaft Verden und in Zusammenarbeit mit dem amerikanischen FBI, dem United States Attorney's Office for the Western District of Pennsylvania, dem Department of Justice sowie den Sicherheitsbehörden von 39 europäischen und außereuropäischen Staaten war es möglich geworden, die wohl weltweit größte Infrastruktur zum Betrieb von Botnetzen aufzudecken und zu analysieren. Bis zum gegenwärtigen Zeitpunkt konnten allein auf der Führungsebene 16 Beschuldigte identifiziert werden. Gegen 7 Tatverdächtige hat das Amtsgericht Verden Haftbefehle wegen Bildung einer kriminellen Vereinigung, banden- und gewerbsmäßigen Computerbetruges und anderer Straftaten erlassen.
Mit der strukturierten Zusammenlegung von mehreren Botnetzen war es den Tätern gelungen, Bankkunden, die ihre Geschäfte online erledigten, um durchschnittlich mehr als 5.000 Euro zu schädigen. Mindestens seit 2009 nutzten die Täter die weltweit vernetzte Botnetz-Infrastruktur "AVALANCHE" für Phishing- und Spamkampagnen.
Pro Woche wurden mehr als eine Million Spammails mit schädigendem Anhang oder Link versandt. Durch Öffnen des Anhangs oder Anklicken des Links wurde das nunmehr infizierte Computer-System Teil des Botnetzes. Auf diese Weise wurden durch die Täter zeitgleich mehr als 50.000 Opfer-PCs kontrolliert und ausspioniert. Aufgrund der hier vorliegenden Anzeigen kann die Schadenssumme derzeit auf rund 6 Millionen Euro aus 1.336 Taten beziffert werden. Der tatsächliche Schaden dürfte auch in Deutschland weitaus höher liegen, während die genannten Zahlen sowieso nur die Angriffe gegen Opfer in Deutschland wiedergeben.
Begonnen hatten die Ermittlungen vor vier Jahren, als massenhaft sogenannte Ransomware verbreitet wurde, mit der private und geschäftliche Nutzer von PCs und PC-Netzwerken erpresst wurden, Geld zu zahlen. Während die Ermittler mit der Unterstützung des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) in Bonn hinter die enormen Dimensionen der Botnetzinfrastuktur "AVALANCHE" kamen, wechselten die Tatverdächtigen nicht nur die Geschäftsfelder, sondern auch die Server und die Länder, von denen aus sie agierten.
Derzeit liegt der Schwerpunkt darin, Online-Banking-Kunden zu schädigen. "Die Tücke einer ausgefeilten Botnetz-Infrastruktur liegt darin, dass allein das Abschalten eines einzelnen Botnetzes nicht ausreicht, um die kriminellen Angriffe zu unterbinden", teilte der Leiter der Zentralstelle für Cybercrime der Staatsanwaltschaft Verden, Oberstaatsanwalt Frank Lange mit. "Die Aufgaben der entdeckten und unschädlich gemachten Server werden schlagartig von den Servern der anderen Botnetze übernommen, bis ein neues weiteres Botnetz aufgebaut wird".
Durch die Analyse der Strukturen von AVALANCHE und die Identifizierung der einzelnen Server auf Führungsebene wurde der Grundstein für die am Mittwoch erfolgte Zerschlagung der Infrastruktur gelegt. Unterstützt durch die europäischen Behörden EUROJUST und EUROPOL erfolgten zeitgleich in zehn Ländern der Welt Durchsuchungen, Beschlagnahmen von Servern und Domains sowie Festnahmen aufgrund bestehender Haftbefehle. Die identifizierten Tatverdächtigen kommen aus zehn verschiedenen Ländern. In einzelnen Fällen wird es nicht möglich sein, die Beschuldigten in Deutschland vor Gericht zu stellen, weil entsprechende Auslieferungsabkommen fehlen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) teilte dazu mit, dass die Zerschlagung der Botnetzinfrastruktur allerdings nur ein erster Schritt sei. Die Schadprogramme auf den infizierten Rechnern würden dadurch nicht gelöscht. Dies müsse durch die Nutzer selbst erfolgen. Die betroffenen Bürger werden über ihre Provider informiert. Ihnen wird dringend empfohlen, ihre Rechner auf eine Infektion mit Schadprogrammen zu überprüfen. Nähere Informationen dazu unter www.bsi-fuer-buerger.de/botnetz.