Weltweite Malware-Infrastruktur zerschlagen

Malware-as-a-Service ist eine richtige Plage. Umso wichtiger sind Erfolge der Polizei gegen sie.
Nicescene/Shutterstock.com



Die Anzahl von Cyberkriminellen nimmt zwar immer weiter zu, aber auch die Polizei rund um den Globus kann Erfolge verzeichnen. So gelang es der niederländischen Polizei, zusammen mit weltweiten Partnern die Infrastruktur der Informationsdiebstahlprogramme RedLine und MetaStealer zu zerschlagen. Die Aktion, die am 28. Oktober 2024 im Rahmen der internationalen Operation Magnus stattfand, wurde von Behörden aus den USA, Großbritannien, Belgien, Portugal und Australien unterstützt.



Russische Server in den Niederlanden abgeschaltet



Wie die EU-Agentur für justizielle Zusammenarbeit in Strafsachen Eurojust erklärte, wurden drei Server in den Niederlanden abgeschaltet und zwei Domains beschlagnahmt. Insgesamt waren über 1.200 Server in zahlreichen Ländern an der Verbreitung der Malware beteiligt.



Aufgrund der Ermittlungen wurde der russische Entwickler des RedLine Stealers, Maxim Rudometov, in den USA wegen Betrugs, Computerkriminalität und Geldwäsche angeklagt. Rudometov wird beschuldigt, Zugang zur RedLine-Infrastruktur und Kryptowährungskonten zur Geldwäsche genutzt zu haben. Ihm drohen bis zu 35 Jahre Haft. Bei der Durchsuchung seines iCloud-Kontos entdeckten die Ermittler darüber hinaus zahlreiche Malware-Dateien, darunter RedLine-bezogene Dateien. Zudem zeigte der RedLine-Lizenzierungsserver Verbindungen zu einer IP-Adresse, die häufig für den Zugriff auf Rudometovs iCloud-Konto genutzt wurde.



Ein Jahr lang ausgespäht



Die Ermittlungen zur Infrastruktur der Datendiebe begannen bereits vor einem Jahr. Auslöser war ein Hinweis des slowakischen Cybersicherheitsunternehmens ESET, dass die Server in den Niederlanden stehen. Im Zuge der Ermittlungen beschlagnahmten die Behörden dann Benutzernamen, Passwörter, IP-Adressen, Zeitstempel, Registrierungsdaten und der Quellcode der Stealer-Malware.



Mehrere für den Verkauf der Malware genutzte Telegram-Konten wurden ebenfalls deaktiviert. Die niederländischen Behörden betonten, dass Telegram nicht länger eine sichere Plattform für Kriminelle sei.



Das Geschäftsmodell MaaS trockenlegen



Informationsdiebe wie RedLine und MetaStealer spielen eine zentrale Rolle in der Cyberkriminalität, da sie Anmeldedaten und sensible Informationen stehlen. Diese Daten werden dann häufig weiterverkauft und für weitere Angriffe, etwa Ransomware, genutzt.



Diese Stealer werden meist als „Malware-as-a-Service“ (MaaS) angeboten, bei dem Entwickler den Zugang zu den Tools gegen Abonnementgebühren oder einmalige Zahlungen an andere Cyberkriminelle vermieten.