{"id":295708,"date":"2024-05-30T08:58:07","date_gmt":"2024-05-30T06:58:07","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=295708"},"modified":"2024-05-30T19:51:19","modified_gmt":"2024-05-30T17:51:19","slug":"operation-endgame-911-s5-botnet-zerschlagen-administrator-in-internationaler-operation-verhaftet","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/05\/30\/operation-endgame-911-s5-botnet-zerschlagen-administrator-in-internationaler-operation-verhaftet\/","title":{"rendered":"Operation Endgame: 911 S5 Botnet zerschlagen; Administrator in internationaler Operation verhaftet"},"content":{"rendered":"

\"SicherheitInternationale Strafverfolger haben zwischen dem 27. und 29. Mai 2024 einen Schlag gegen das 911 S5 Botnet durchgef\u00fchrt. Es soll die gr\u00f6\u00dfte Operation aller Zeiten gewesen sein, die unter dem Namen Endgame lief. Fokus der Operation war die die Verhaftung von Schl\u00fcsselpersonen, die Zerschlagung krimineller Infrastrukturen und das Einfrieren illegaler Erl\u00f6se, wodurch das globale Dropper-\u00d6kosystem erheblich beeintr\u00e4chtigt wurde. Ein Operator konnte verhaftet werden, 8 Personen sind fl\u00fcchtig.<\/p>\n

<\/p>\n

\"\"Ich bin auf X gleich \u00fcber mehrere Tweets auf die Verlautbarungen der internationalen Strafverfolger (FBI, Europol) gesto\u00dfen. Das US-Justizministerium hat hier<\/a> eine Information ver\u00f6ffentlicht, Europol schreibt hier<\/a> was zur Operation.<\/p>\n

\"Endgame:<\/p>\n

Das 911 S5 Botnet<\/h2>\n

Das 911 S5 Botnet<\/a> infizierte \u00fcber 19 Millionen IP-Adressen (Ger\u00e4te) und erm\u00f6glichte so Betrug in Milliardenh\u00f6he. Cyberkriminelle nutzten dann von 911 S5 erworbene Proxy-IP-Adressen, um ihre wahren IP-Adressen und Standorte zu verschleiern und anonym eine breite Palette von Straftaten zu begehen. Zu diesen Straftaten geh\u00f6ren Finanzkriminalit\u00e4t, Stalking, die \u00dcbermittlung von Bombendrohungen und Schadensdrohungen, der illegale Export von Waren sowie der Empfang und Versand von Material zur Ausbeutung von Kindern.<\/p>\n

Seit 2014 soll 911 S5 es Cyberkriminellen erm\u00f6glicht haben, die Erkennungssysteme f\u00fcr Finanzbetrug zu umgehen und Milliarden von Dollar von Finanzinstituten, Kreditkartenherausgebern und staatlichen Kreditprogrammen zu stehlen. 911 S5-Kunden sollen es auf bestimmte Pandemie-Hilfsprogramme abgesehen haben.<\/p>\n

Die Vereinigten Staaten sch\u00e4tzen beispielsweise, dass 560.000 betr\u00fcgerische Arbeitslosenversicherungsantr\u00e4ge von kompromittierten IP-Adressen aus gestellt wurden, was zu einem best\u00e4tigten betr\u00fcgerischen Verlust von \u00fcber 5,9 Milliarden Dollar f\u00fchrte. Dar\u00fcber hinaus sch\u00e4tzen die Vereinigten Staaten bei der Bewertung des mutma\u00dflichen Betrugsschadens f\u00fcr das Economic Injury Disaster Loan (EIDL)-Programm, dass mehr als 47.000 EIDL-Antr\u00e4ge von IP-Adressen ausgingen, die durch 911 S5 kompromittiert wurden. Weitere Millionen von Dollar wurden von Finanzinstituten in den Vereinigten Staaten als Verluste identifiziert, die von IP-Adressen stammen, die durch 911 S5 kompromittiert wurden.<\/p>\n

Die 911 S5 Client Interface Software, die auf Servern in den USA gehostet wurde, erm\u00f6glichte es Cyberkriminellen, die sich au\u00dferhalb der Vereinigten Staaten befanden, mit gestohlenen Kreditkarten oder kriminellen Ertr\u00e4gen Waren zu kaufen und diese entgegen den US-Ausfuhrgesetzen, wie den Export Administration Regulations (EAR), illegal in L\u00e4nder au\u00dferhalb der Vereinigten Staaten zu exportieren.<\/p>\n

Die 911 S5 Client-Schnittstelle kann auch Verschl\u00fcsselungs- oder andere Funktionen enthalten, die den Exportkontrollen der EAR unterliegen. Dementsprechend kann das Herunterladen der 911 S5 Client Interface Software durch bestimmte ausl\u00e4ndische Staatsangeh\u00f6rige ohne Lizenz einen Versto\u00df gegen die EAR darstellen schreibt das US-Justizministerium. Europol beschreibt hier<\/a> noch die Funktion der von der Gruppe benutzten Dropper.<\/p>\n

Operation Endgame<\/h2>\n

Zwischen dem 27. und 29. Mai 2024 richtete sich die von der Europol-Zentrale koordinierte Operation Endgame<\/a> gegen Dropper wie IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee und Trickbot. Die Aktionen konzentrierten sich auf die Unterbrechung der kriminellen Dienste durch die Verhaftung von hochrangigen Zielpersonen, die Zerschlagung der kriminellen Infrastrukturen und das Einfrieren illegaler Erl\u00f6se.<\/p>\n

Dieser Ansatz hatte globale Auswirkungen auf das \u00d6kosystem der Dropper. Die Malware, deren Infrastruktur w\u00e4hrend der Aktionstage ausgeschaltet wurde, erleichterte Angriffe mit Ransomware und anderer Schadsoftware. Im Anschluss an die Aktionstage werden acht fl\u00fcchtige Personen, die mit diesen kriminellen Aktivit\u00e4ten in Verbindung stehen und von Deutschland gesucht werden, am 30. Mai 2024 in die Liste der meistgesuchten Personen Europas aufgenommen. Die Personen werden wegen ihrer Beteiligung an schweren Cyberkriminalit\u00e4tsaktivit\u00e4ten gesucht.<\/p>\n

Dies war laut Europol die bisher gr\u00f6\u00dfte jemals durchgef\u00fchrt Operation gegen Botnetze, die eine wichtige Rolle bei der Verbreitung von Ransomware spielen. Die von Frankreich, Deutschland und den Niederlanden initiierte und geleitete Operation wurde auch von Eurojust unterst\u00fctzt und umfasste D\u00e4nemark, das Vereinigte K\u00f6nigreich und die Vereinigten Staaten.<\/p>\n

Dar\u00fcber hinaus unterst\u00fctzten Armenien, Bulgarien, Litauen, Portugal, Rum\u00e4nien, die Schweiz und die Ukraine die Operation mit verschiedenen Ma\u00dfnahmen wie Verhaftungen, Vernehmungen von Verd\u00e4chtigen, Durchsuchungen und Beschlagnahmungen oder Abschaltungen von Servern und Dom\u00e4nen.<\/p>\n

Die Operation wurde auch von einer Reihe von privaten Partnern auf nationaler und internationaler Ebene unterst\u00fctzt, darunter Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus und DIVD. Die koordinierten Aktionen f\u00fchrten zu:<\/p>\n