Mit seinen Phishing- und Spam-Attacken richtete es weltweit Millionenschäden an - nun ist das riesige Cybercrime-Botnetz "Avalanche" von deutschen Ermittlern zerschlagen worden.
In einer mit Sicherheitsbehörden in den USA und weiteren 39 Staaten abgestimmten Aktion seien dessen Infrastruktur enttarnt sowie 16 Hauptverdächtige identifiziert worden, teilten die Staatsanwaltschaft in Verden und die Polizei in Lüneburg am Donnerstag mit.
Nach mehr als vierjähriger Ermittlungsarbeit gelang es den Beamten demnach am Mittwoch, in einem international koordinierten Zugriff in zehn Staaten, mehrere mutmaßliche Führungsmitglieder zu verhaften sowie 39 Server mit hunderttausenden Domains abzuschalten. Über sie wurden allein in Deutschland mehr als 50.000 Computer kontrolliert.
Allein in Deutschland werden der "Avalanche"-Organisation nach Ermittler-Angaben mehr als 1300 Betrugstaten mit einem Schaden von sechs Millionen Euro zugeordnet, wobei die tatsächlichen Zahlen wesentlich höher sein dürften. Die europäische Polizeibehörde Europol erklärte in den Haag, weltweit betrage der Schaden "hunderte Millionen Euro". Demnach wurden Opfer des Botnetzes in mehr als 180 Ländern identifiziert.
Die Staatsanwaltschaft Verden führte aus, das Botnetz sei mindestens seit 2009 für Cybercrime-Kampagnen mit wechselnden Schwerpunkten genutzt worden. "Pro Woche wurden mehr als eine Million Spammails mit schädigendem Anhang oder Link versandt."
Die Betrüger infizierten auf diese Weise Computer und Smartphones, gliederten diese in ihr Botnetz ein und spionierten sie aus. Ursprünglich nutzte die Gruppe "Avalanche" laut Polizei und Staatsanwaltschaft zur Verbreitung Ransomware. Das sind Programme, die Rechner blockieren und nur gegen Zahlung eines "Lösegelds" freigeben. Zuletzt lag der Schwerpunkt demnach auf der Schädigung der Kunden von Online-Banking-Angeboten.
Nach Angaben der Ermittler und des ebenfalls eingebundenen Bundesamts für Sicherheit in der Informationstechnik (BSI) bestand "Avalanche" aus rund 20 zusammengeschalteten Botnetzen. Dadurch konnte es auch weiterarbeiten, wenn Einzelteile enttarnt wurden. "Die Aufgaben der entdeckten und unschädlich gemachten Server werden schlagartig von den Servern der anderen Botnetze übernommen", erklärte Oberstaatsanwalt Frank Lange.
Der Einsatzleiter des Europol-Zentrums für Cyberkriminalität EC3, Fernando Ruiz, sagte der Nachrichtenagentur AFP, "Avalanche" habe "wie ein Unternehmen" funktioniert - "und wir haben seinen 'Generaldirektor' und seine 'Vorstandsmitglieder' festgenommen". "Avalanche" habe aus mehreren Abteilungen für unterschiedliche Vergehen bestanden und sogar einen "Kundendienst" gehabt.
Gegen sieben der 16 identifizierten Verdächtigen erließ das Amtsgericht Verden demnach Haftbefehle wegen der Bildung einer kriminellen Vereinigung, Computerbetrugs und anderer Delikte. Die Täter kommen aus insgesamt zehn Ländern. Wo die Täter gefasst wurden, teilten die Ermittler zunächst nicht mit. In Einzelfällen werde es aber nicht möglich sein, sie in Deutschland vor Gericht zu stellen, weil Auslieferungsabkommen fehlten.
Seitens des BSI koordiniert das Nationale Cyber-Abwehrzentrum derzeit die Zerschlagung des Botnetzes. Das sei aber nur ein erster Schritt, betonten die Behörden. Als nächstes müssten die betroffenen Nutzer gewarnt werden. "Die Zerschlagung der Botnetz-Infrastruktur führt nicht automatisch zu einer Bereinigung der infizierten Nutzersysteme", erklärte das BSI in Bonn. Die Besitzer müssten sie selbst von Viren befreien.
Die BSI-Experten arbeiten derzeit daran, Betroffene anhand der auf den beschlagnahmten Servern gefundenen IP-Adressen zu identifizieren. Sie geben diese an die Telekommunikationsanbieter weiter. Nur diese sind in der Lage, die Adressen einem Anschluss zuzuordnen und Kunden zu warnen. Das BSI stellte außerdem unter www.bsi-fuer-buerger.de/botnetz ausführliche Hilfen für die Bereinigung bereit.
afp
