Die US-Behörden gaben am Donnerstag bekannt, dass sie „das weltweit größte Botnetz aller Zeiten“ zerschlagen haben, das angeblich für fast sechs Milliarden US-Dollar an Versicherungsbetrug im Zusammenhang mit dem Coronavirus verantwortlich war.

Das Justizministerium verhaftete einen chinesischen Staatsbürger namens Yun Hee Wang (35 Jahre alt) und beschlagnahmte Luxusuhren, mehr als 20 Immobilien und ein Ferrari-Auto. Die angeblich von Wang und anderen betriebenen Netzwerke mit dem Namen „911 S5“ verbreiteten von 2014 bis 2022 Ransomware über infizierte E-Mails. Wang soll ein Vermögen von 99 Millionen US-Dollar angehäuft haben, indem er seine Malware an andere Kriminelle lizenziert hat. Das Netzwerk hat angeblich 5,9 Milliarden US-Dollar an betrügerischen Arbeitslosenanträgen aus Covid-Hilfsprogrammen abgeschöpft.

„Das hier behauptete Verhalten scheint direkt einem Szenario entsprungen zu sein“, sagte Matthew Axelrod, stellvertretender Staatssekretär für Exportkontrolle im Handelsministerium.

Wang drohen bis zu 65 Jahre Gefängnis, wenn er wegen der gegen ihn erhobenen Anklagepunkte verurteilt wird: Verschwörung zum Computerbetrug, materieller Computerbetrug, Verschwörung zum Überweisungsbetrug und Verschwörung zur Geldwäsche.

Ebenso bezeichnete die von EU-Justiz- und Polizeibehörden koordinierte Polizei den Einsatz als den größten internationalen Einsatz aller Zeiten gegen diese lukrative Form der Cyberkriminalität.

Die Polizei hat vier hochrangige Verdächtige festgenommen, mehr als 100 Server lahmgelegt und die Kontrolle über mehr als 2.000 Internetdomänen übernommen, teilte die Agentur für justizielle Zusammenarbeit der Europäischen Union, Eurojust, am Donnerstag mit.

Der massive Angriff dieser Woche mit dem Codenamen Endgame umfasste koordinierte Aktionen in Deutschland, den Niederlanden, Frankreich, Dänemark, der Ukraine, den Vereinigten Staaten und dem Vereinigten Königreich, sagte Eurojust. Darüber hinaus wurden drei Verdächtige in der Ukraine und einer in Armenien festgenommen. Europol fügte hinzu, dass Durchsuchungen in der Ukraine, Portugal, den Niederlanden und Armenien durchgeführt wurden.

Es handelt sich um die jüngste internationale Operation, die darauf abzielt, Malware- und Ransomware-Operationen zu stören. Eurojust sagte, dies sei eine Folge der groß angelegten Zerstörung eines Botnetzes namens Emotet im Jahr 2021 gewesen. Ein Botnetz ist ein Netzwerk gekaperter Computer, das typischerweise zur Durchführung böswilliger Aktivitäten genutzt wird.

Europol versicherte, dass dies nicht die letzte Abschaltung sein würde.

„Operation Endgame endet heute nicht. Neue Aktionen werden auf der Operation Endgame-Website bekannt gegeben.“

Die niederländische Polizei sagte, dass der finanzielle Schaden, den das Netzwerk Regierungen, Unternehmen und einzelnen Nutzern verursacht, auf Hunderte Millionen Euro geschätzt wird.

„Millionen Menschen sind auch Opfer, weil ihre Systeme infiziert wurden, was sie zu einem Teil dieser Botnetze macht“, heißt es in der niederländischen Erklärung.

Eurojust sagte, einer der Hauptverdächtigen habe sich durch die Anmietung krimineller Infrastruktur zur Verbreitung von Ransomware Kryptowährungen im Wert von mindestens 69 Millionen Euro (74 Millionen US-Dollar) beschafft.

„Die Transaktionen des Verdächtigen werden ständig überwacht und es wurde bereits die rechtliche Genehmigung eingeholt, diese Vermögenswerte zu beschlagnahmen, wenn künftige Maßnahmen ergriffen werden“, fügte Europol hinzu.

Die Operation zielte auf Malware namens IcedID, Pikabot, Smokeloader, Bumblebee und Trickbot ab. Dropper ist Malware, die sich normalerweise in E-Mails mit infizierten Links oder in Anhängen wie Versandrechnungen oder Bestellformularen verbreitet.

„Dieser Ansatz hatte globale Auswirkungen auf das Dropper-Ökosystem“, sagte Europol. „Die Malware, deren Infrastruktur während der Geschäftstage entfernt wurde, erleichterte Angriffe mit Ransomware und anderer Malware.“

Die niederländische Polizei warnte, dass diese Maßnahmen Cyberkriminelle auf die Möglichkeit einer Festnahme aufmerksam machen sollten.

„Dieser Einsatz zeigt, dass man immer Spuren hinterlässt und niemand gefunden werden kann, nicht einmal im Internet“, sagte Stan Duif von der niederländischen Nationalpolizei in einer Videoerklärung.

Martina Link, stellvertretende Leiterin des Bundeskriminalamtes, bezeichnete den Einsatz als „den bislang größten internationalen Cyberpolizeieinsatz“.

„Dank umfangreicher internationaler Zusammenarbeit ist es gelungen, sechs der größten Malware-Familien unschädlich zu machen“, hieß es in einer Stellungnahme.

Die deutschen Behörden wollen sieben Personen wegen des Verdachts der Mitgliedschaft in einer kriminellen Vereinigung festnehmen, die die Verbreitung der Trickbot-Malware zum Ziel hat. Eine achte Person wird vermutet, einer der Anführer der Gruppe hinter dem Smokeloader zu sein.

Europol sagte, es werde die acht von Deutschland gesuchten Verdächtigen auf seine Fahndungsliste setzen.