{"id":311796,"date":"2025-05-23T19:18:20","date_gmt":"2025-05-23T17:18:20","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=311796"},"modified":"2025-05-24T01:25:32","modified_gmt":"2025-05-23T23:25:32","slug":"operationen-endgame-danabot-net-und-raptor-zerschlagen-infrastruktur-fuer-ransomware-angriffe-und-mehr","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/05\/23\/operationen-endgame-danabot-net-und-raptor-zerschlagen-infrastruktur-fuer-ransomware-angriffe-und-mehr\/","title":{"rendered":"Operationen Endgame, DanaBot-Net und Raptor zerschlagen Infrastruktur f\u00fcr Ransomware-Angriffe und mehr"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Strafverfolger haben die Woche in der Operation Endgame 300 Server und 650 Dom\u00e4nen, die f\u00fcr Ransomware-Angriffe genutzt wurden, beschlagnahmt. Damit wurden Netzwerke von Cyberkriminellen zerschlagen, Gelder eingezogen und wohl auch einige Verd\u00e4chtige verhaftet. Mit der Aktion Raptor und mit DANABOT wurden weitere Aktionen gegen Cyberkriminelle durchgef\u00fchrt. Hier eine \u00dcbersicht.<\/p>\n

<\/p>\n

Operation Endgame – neue Aktionen<\/h2>\n

\"\"Im April 2025 hatte ich bereits im Beitrag\u00a0Europol-Operation Operation Endgame: Botnetz abgeschaltet, Verd\u00e4chtige verhaftet<\/a> \u00fcber einige Aktionen gegen Botnetze berichtet. Und im Mai 2024 gab es ebenfalls eine Aktion (siehe\u00a0Operation Endgame: 911 S5 Botnet zerschlagen; Administrator in internationaler Operation verhaftet<\/a>). Nun ist die n\u00e4chste Operation durchgef\u00fchrt worden.<\/p>\n

Laut dieser Meldung<\/a> wurde die weltweite Operationsm\u00f6glichkeit von Cyberkriminellen erheblich gest\u00f6rt. In einer von Europol und Eurojust koordinierten Aktion zerlegten\u00a0Strafverfolgungs- und Justizbeh\u00f6rden die zentrale Infrastruktur, die f\u00fcr Ransomware-Angriffe von verschiedenen Gruppen verwendet wurden.<\/p>\n

Vom 19. bis 22. Mai schalteten die Beh\u00f6rden in der Operation Endgame weltweit etwa 300 Server ab, neutralisierten 650 Dom\u00e4nen und erlie\u00dfen internationale Haftbefehle gegen 20 Zielpersonen, was einen direkten Schlag gegen die Ransomware-Kill-Chain bedeutete.<\/p>\n

Dar\u00fcber hinaus wurden w\u00e4hrend der Aktionswoche 3,5 Millionen Euro in Kryptow\u00e4hrung beschlagnahmt, womit sich der im Rahmen der Operation Endgame beschlagnahmte Gesamtbetrag auf 21,2 Millionen Euro erh\u00f6ht.<\/p>\n

Diese j\u00fcngste Phase der Operation ENDGAME schlie\u00dft sich an die bisher gr\u00f6\u00dfte internationale Aktion gegen Botnets im Mai 2024 an. Sie richtete sich gegen neue Malware-Varianten und Nachfolgegruppen, die nach der Zerschlagung im letzten Jahr wieder aufgetaucht waren.<\/p>\n

Bleeping Computer hat hier<\/a> noch eine Einordnung vorgenommen. Dort wird auch erw\u00e4hnt, dass das US-Justizministerium juristische Schritte<\/a> gegen 16 Beschuldigte einer russischen Cyber-Gang, die die DANABOT-Malware verwendet, eingeleitet habe.<\/p>\n

Vorgehen gegen DANABOT<\/h2>\n

Bei DANABOT hat\u00a0das US-Justizministerium <\/a>eine Anklageschrift<\/a> gegen russische Staatsangeh\u00f6rige ver\u00f6ffentlicht, denen die Entwicklung, Verwaltung und der Betrieb der Malware-as-a-Service (MaaS) DanaBot vorgeworfen wird.<\/p>\n

\"DNABOT<\/a><\/p>\n

ZScaler bietet auf GitHub einen DANABOT-Detector<\/a> an, und hat in diesem Blog-Beitrag<\/a> eine detaillierte DANABOT-Analyse ver\u00f6ffentlicht.<\/p>\n

Erg\u00e4nzung: Auch CrowdStrike unterst\u00fctzte den DanaBot-Takedown, und enth\u00fcllt Verbindungen zwischen eCrime und Russland-nahen Bedrohungsakteuren. DANABOT wird von\u00a0CrowdStrike als <\/a>SCULLY SPIDER<\/a> bezeichnet. Es handelt sich um eine in Russland beheimatete eCrime-Gruppe.<\/p>\n

DanaBot ist seit 2018 aktiv und hat sich von einem Banking-Trojaner zu einer mietbaren Botnet-Plattform entwickelt, die f\u00fcr Cyberkriminalit\u00e4t, Spionage und DDoS-Angriffe genutzt wird. Dies umfasst auch auch Aktivit\u00e4ten, die gegen ukrainische Einrichtungen gerichtet sind.<\/p>\n

Die Sub-Botnets 24 und 25 weisen Verbindung zum russischen Geheimdienst auf, was verdeutlicht, wie Cyberkriminalit\u00e4tsinfrastrukturen f\u00fcr staatlich unterst\u00fctzte Operationen umfunktioniert werden k\u00f6nnen.<\/p>\n

Obwohl SCULLY SPIDER offen von Russland aus operierte, gab es kaum innerstaatliche Strafverfolgungsma\u00dfnahmen \u2013 ein Muster, das auf Toleranz oder eine stellvertretende Nutzung durch den Kreml hindeutet.<\/p>\n

CrowdStrike unterst\u00fctzte den Takedown durch die Bereitstellung von Threat Intelligence, Infrastrukturanalysen und Einblicken in die technischen Abl\u00e4ufe der Gruppe.\u00a0CrowdStrike\u00a0 hat einen <\/a>Blog-Beitrag<\/a> ver\u00f6ffentlicht, in dem die Taktiken von SCULLY SPIDER und die Bedeutung der Aktion der US-Justiz in Bezug auf die Schw\u00e4chung der Cyberf\u00e4higkeiten russischer Verb\u00fcndeter detailliert beschrieben werden.<\/p>\n

Operation Raptor<\/h2>\n

Weiterhin gab es die Operation Raptor<\/a>, bei der Strafverfolger globale Razzien durchf\u00fchrten. Von den\u00a0Strafverfolgungsbeh\u00f6rden wurden weltweit 270 Personen im Rahmen dieser Operation RapTor verhaftet. Es handelt sich um eine gro\u00dfe und umfassende Aktion gegen illegale Aktivit\u00e4ten auf Dark-Web-Marktpl\u00e4tzen.<\/p>\n

Die Operation, die sowohl auf Verk\u00e4ufer als auch auf K\u00e4ufer abzielte, die in den Handel mit illegalen Waren verwickelt waren, erstreckte sich \u00fcber mehrere L\u00e4nder. Die meisten Verhaftungen gab es in den folgenden Regionen:<\/p>\n