Strafverfolgungsbehörden auf der ganzen Welt haben unter der Koordination von Europol drei große Operationen zur Cyberkriminalität im Rahmen einer kürzlich durchgeführten Razzia mit der Bezeichnung „Operation Endgame“ zerschlagen. Zu den Zielen gehörten der Rhadamanthys-Infostealer, das Elysium-Botnetz und der Fernzugriffstrojaner VenomRAT – alles wichtige Akteure der internationalen Cyberkriminalität. Während der Operation wurden über 1.000 Server beschlagnahmt und ein Hauptverdächtiger hinter VenomRAT wurde am 3. November in Griechenland festgenommen.
Die Operation verdeutlicht eine kritische Realität: Der Abbau der Infrastruktur für Cyberkriminalität ist ein ständiger Kampf, der oft als „Whack-a-mole“-Szenario beschrieben wird. Sobald eine Bedrohung neutralisiert ist, tritt schnell eine andere an ihre Stelle.
Die Ziele: Was machten sie?
Rhadamanthys ist ein Infostealer, der darauf ausgelegt ist, vertrauliche Daten von infizierten Geräten zu extrahieren, darunter Passwörter und Kryptowährungs-Wallet-Schlüssel. Die Malware erlangte Bekanntheit, nachdem Lumma, ein weiterer beliebter Infostealer, Anfang 2023 ausgeschaltet wurde. Bis Oktober hatte Rhadamanthys über 12.000 Opfer kompromittiert, was sie zu einer der am weitesten verbreiteten Malware zum Informationsdiebstahl im Umlauf macht. Der Verdächtige hinter Rhadamanthys hatte Zugriff auf über 100.000 Krypto-Wallets im potenziellen Wert von mehreren Millionen Euro.
Elysium fungierte als Botnetz, ein Netzwerk kompromittierter Computer, die von Angreifern ferngesteuert wurden. Botnetze werden für eine Vielzahl böswilliger Aktivitäten eingesetzt, darunter DDoS-Angriffe (Distributed Denial of Service) und Spam-Kampagnen.
VenomRAT ist ein Remote-Access-Trojaner (RAT), der es Angreifern ermöglicht, die vollständige Kontrolle über infizierte Systeme zu erlangen. RATs werden häufig für Spionage, Datendiebstahl und die Bereitstellung zusätzlicher Malware eingesetzt.
Der Zyklus der Anpassung
Der Aufstieg von Rhadamanthys nach der Abschaffung von Lumma verdeutlicht einen wichtigen Trend in der Cyberkriminalität: Kriminelle passen sich schnell an. Wenn ein Werkzeug neutralisiert wird, taucht ein anderes auf, das zunächst oft weniger bekannt ist, um die Lücke zu füllen. Aus diesem Grund bezeichnen Strafverfolgungs- und Cybersicherheitsfirmen den Kampf als endlos.
Rhadamanthys verbreitete sich zunächst über bösartige Google-Werbung, bevor es in Untergrundforen an Bedeutung gewann. Der dramatische Anstieg der Opferzahl der Malware nach der Abschaltung von Lumma unterstreicht, wie leicht Kriminelle auf neue Tools umsteigen können.
Die „Whack-a-Mole“-Realität
Ryan English, Forscher bei Black Lotus Labs, erklärt, dass dies eine grundlegende Herausforderung bei der Cyberkriminalität darstellt. „Wir wissen, dass andere ihren Platz einnehmen werden, also beobachten wir einfach weiter, um zu sehen, wer daraus hervorgeht“, sagte er. Die Branche kann Bedrohungen nur dann abwehren, wenn sie auftauchen, aber das zugrunde liegende Problem bleibt bestehen: Kriminelle werden immer neue Wege finden, Schwachstellen auszunutzen.
Die Auflösung dieser Operationen ist ein bedeutender Sieg für die Strafverfolgungsbehörden, löst aber nicht das größere Problem. Die Bedrohungslandschaft entwickelt sich ständig weiter und es werden unweigerlich neue Malware-Stämme auftauchen, die die entfernten ersetzen.
Warum das wichtig ist
Der anhaltende Zyklus von Abschaltungen und Wiederauftauchen unterstreicht die Notwendigkeit eines proaktiveren Ansatzes für die Cybersicherheit. Es reicht nicht aus, bestehende Bedrohungen einfach zu beseitigen; Organisationen und Einzelpersonen müssen Prävention, Aufklärung und robuste Sicherheitspraktiken priorisieren. Beim Kampf gegen Cyberkriminalität geht es nicht nur darum, Kriminelle zu fassen. Es geht darum, die Erfolgsaussichten für sie überhaupt zu verringern.
Die Tatsache, dass Rhadamanthys die von Lumma hinterlassene Lücke schnell füllte, zeigt, dass technische Störungen allein den Krieg nicht gewinnen werden. Das zugrunde liegende Problem schwacher Sicherheitspraktiken, Phishing-Angriffe und ungepatchter Schwachstellen bleibt bestehen.
Letztlich ist der Kampf gegen Cyberkriminalität ein Marathon und kein Sprint. Strafverfolgungsbehörden und die Cybersicherheitsbranche müssen sich weiterhin anpassen und innovativ sein, aber Einzelpersonen und Organisationen müssen auch Verantwortung für ihre eigene Sicherheit übernehmen
