Urteil zu IT-Sicherheit

Botnetz-Struktur "Avalanche": Malware-Kampagnen "GozNym" und "URLzone" erfolgreich bekämpft

Die seit 2012 in 40 europäischen und außereuropäischen Ländern und in den USA koordiniert geführten Ermittlungen im Zusammenhang mit der Botnetz-Struktur Avalanche“ sind abgeschlossen. Die Strafver­fol­gungsbehörden der beteiligten Länder stellten die bisherigen Abläufe und das weitere Verfahren am 16.05.2019 im Rahmen einer durch Europol in Den Haag organisierten Pressekonferenz dar.

Hintergrund:
Im Jahr 2016 gelang es den Cybercrime-Spezialisten der Staatsan­waltschaft Verden und der Zentralen Kriminal­inspektion Lüneburg in enger Zusammenarbeit mit dem amerikanischen FBI, dem United States Attorney's Office for the Western District of Pennsylvania, dem Department of Justice sowie den Sicherheitsbehörden von 39 europäischen und außereuropäischen Staaten, die wohl weltweit größte Infrastruktur zum Betrieb von Botnetzen Avalanche“ aufzudecken und zu zerschlagen.
Mindestens seit 2009 nutzten die Täter die weltweit vernetzte Botnetz-Infrastruktur Avalanche“, über die Hosting-Dienste für mehr als 200 Cyberkriminelle bereitgestellt und nicht selten mehr als zwanzig verschiedene Malware-Kampagnen, zeitgleich veranstaltet wurden. Im Rahmen einzelner Malware-Kampagnen wurden von den Tätern jeweils mehrere 10.000 infizierte Rechner kontrolliert.
Während im außereuropäischen Ausland besonders die Malware GozNym“ immense Schäden angerichtet hat, waren deutsche Opfer vor allem durch die Malware URLzone“ betroffen. Hiermit konnten die Täter unter anderem unbefugt Überweisungen von fremden Bankkonten veranlassen. Zugeordnet werden konnten allein in Deutschland mindestens 1.691 Taten mit einem Gesamtschaden von mindestens 8.728.676,56 EUR. Den Gesamtschaden, den die Täter über Avalanche“ weltweit verursacht haben, schätzen die Ermittler auf 100 Mio. US-Dollar.

Von zentraler Bedeutung für die Ermittlungserfolge in dieser Sache war die über Eurojust und Europol unterstützte und koordinierte Zusammenarbeit der Strafver­fol­gungsbehörden der betroffenen Länder, in deren Verlauf in großem Umfang Erkenntnisse und Beweismittel ausgetauscht wurden. Nur so war es möglich, allen Beteiligten einen umfassenden Überblick über das Ausmaß und die Hintergründe von Avalanche“ zu geben und die Voraussetzungen für eine effektive und nicht durch nationale Grenzen beschränkte Strafverfolgung zu schaffen. An den Ermittlungen waren neben der Zentralstelle Cybercrime der Staatsan­waltschaft Verden sowie der Zentralen Kriminal­inspektion Lüneburg das United States Attorney’s Office for the Western District of Pennsylvania (Bundes-Staatsan­waltschaft des Westbezirks von Pennsylvania), das FBI Field Office Pittsburgh (Außenstelle des FBI in Pittsburgh), die Staatsan­waltschaft von Georgien, die Generalstaats­an­waltschaft der Ukraine, die Generalstaats­an­waltschaft der Republik Moldau, die Generalstaats­an­waltschaft Bulgarien, das Innenministerium von Georgien, die Nationalpolizei der Ukraine, die Generalpo­li­zei­inspektion der Republik Moldau und die Generaldirektion für die Bekämpfung der organisierten Kriminalität Bulgariens beteiligt.

Nach aktuellem Stand ist davon auszugehen, dass sich 11 Beschuldigte u.a. wegen bandenmäßigen Computerbetruges und Geldwäsche in Russland, Georgien, der Ukraine, Moldawien, Bulgarien und den USA vor Gericht verantworten müssen. So konnte der mutmaßliche Administrator von Avalanche“ in der Ukraine festgenommen werden, wo gegen ihn unter anderem aufgrund der durch die deutschen Behörden gewonnenen Erkenntnisse und Beweismittel Anklage erhoben werden soll. Der mutmaßliche Hauptver­ant­wortliche für die Malware URLzone“ wird in Aserbaidschan auf der Grundlage von ebenfalls in Deutschland gewonnenen Beweismitteln verfolgt. In Deutschland, von wo aus keine zentralen Tatbeiträge im Zusammenhang mit dem Aufbau und dem Betrieb von Avalanche“ geleistet wurden, werden 2 Beschuldigte verfolgt, denen Geldwäsche in Bezug auf Gewinne aus der Malware URLzone“ zur Last gelegt wird.

Die internationale Zusammenarbeit ist auch weiterhin erforderlich und wird fortgesetzt, um über das sog. Sinkholing die Nutzung der Infrastruktur Avalanche“ dauerhaft zu unterbinden. Über ein im Rahmen des EMPACT Cyber-Attacks Projekts mit Mitteln der Europäischen Kommission finanziertes Programm werden fortlaufend infizierte Rechner gemeinsam durch das Bundesamt für Sicherheit in der Informati­onstechnik (BSI), das Fraunhofer Institut FKIE in Bonn und die amerikanisch-niederländische Shadowserver Foundation identifiziert und unschädlich gemacht, um zu verhindern, dass ggf. unbekannte Mittäter, die noch im Besitz von Programmcodes sind, Avalanche“ wieder in Betrieb nehmen.

Zur Pressemitteilung der Staatsan­waltschaft Verden vom 16.05.19 hier