Botnetz-Struktur „Avalanche“; Malware-Kampagnen „GozNym“ und „URLzone“ erfolgreich bekämpft; Abschluss der polizeilichen Ermittlungen; Pressekonferenz zur Darstellung der Erkenntnisse und des weiteren Verfahrens am 16.05.2019 in Den Haag.
Die seit 2012 in 40 europäischen und außereuropäischen Ländern und in den USA koordiniert geführten Ermittlungen im Zusammenhang mit der Botnetz-Struktur „Avalanche“ sind abgeschlossen. Die Strafverfolgungsbehörden der beteiligten Länder stellen die bisherigen Abläufe und das weitere Verfahren am 16.05.2019 ab 14.00 Uhr im Rahmen einer durch Europol in Den Haag organisierten Pressekonferenz dar.
Ein Livestream dieser Pressekonferenz ist über folgenden Link zu erreichen: https://www.youtube.com/watch?v=4A6f-3Xnh4Q
Hintergrund:
Im Jahr 2016 gelang es den Cybercrime-Spezialisten der Staatsanwaltschaft Verden und der Zentralen Kriminalinspektion Lüneburg in enger Zusammenarbeit mit dem amerikanischen FBI, dem United States Attorney’s Office for the Western District of Pennsylvania, dem Department of Justice sowie den Sicherheitsbehörden von 39 europäischen und außereuropäischen Staaten, die wohl weltweit größte Infrastruktur zum Betrieb von Botnetzen „Avalanche“ aufzudecken und zu zerschlagen.
Mindestens seit 2009 nutzten die Täter die weltweit vernetzte Botnetz-Infrastruktur „Avalanche“, über die Hosting-Dienste für mehr als 200 Cyberkriminelle bereitgestellt und nicht selten mehr als zwanzig verschiedene Malware-Kampagnen, zeitgleich veranstaltet wurden. Im Rahmen einzelner Malware-Kampagnen wurden von den Tätern jeweils mehrere 10.000 infizierte Rechner kontrolliert. Während im außereuropäischen Ausland besonders die Malware „GozNym“ immense Schäden angerichtet hat, waren deutsche Opfer vor allem durch die Malware „URLzone“ betroffen. Hiermit konnten die Täter unter anderem unbefugt Überweisungen von fremden Bankkonten veranlassen. Zugeordnet werden konnten allein in Deutschland mindestens 1.691 Taten mit einem Gesamtschaden von mindestens 8.728.676,56 EUR. Den Gesamtschaden, den die Täter über „Avalanche“ weltweit verursacht haben, schätzen die Ermittler auf 100 Mio. US-Dollar.
Von zentraler Bedeutung für die Ermittlungserfolge in dieser Sache war die über Eurojust und Europol unterstützte und koordinierte Zusammenarbeit der Strafverfolgungsbehörden der betroffenen Länder, in deren Verlauf in großem Umfang Erkenntnisse und Beweismittel ausgetauscht wurden. Nur so war es möglich, allen Beteiligten einen umfassenden Überblick über das Ausmaß und die Hintergründe von „Avalanche“ zu geben und die Voraussetzungen für eine effektive und nicht durch nationale Grenzen beschränkte Strafverfolgung zu schaffen. An den Ermittlungen waren neben der Zentralstelle Cybercrime der Staatsanwaltschaft Verden sowie der Zentralen Kriminalinspektion Lüneburg das United States Attorney’s Office for the Western District of Pennsylvania (Bundes-Staatsanwaltschaft des Westbezirks von Pennsylvania), das FBI Field Office Pittsburgh (Außenstelle des FBI in Pittsburgh), die Staatsanwaltschaft von Georgien, die Generalstaatsanwaltschaft der Ukraine, die Generalstaatsanwaltschaft der Republik Moldau, die Generalstaatsanwaltschaft Bulgarien, das Innenministerium von Georgien, die Nationalpolizei der Ukraine, die Generalpolizeiinspektion der Republik Moldau und die Generaldirektion für die Bekämpfung der organisierten Kriminalität Bulgariens beteiligt.
Nach aktuellem Stand ist davon auszugehen, dass sich 11 Beschuldigte u.a. wegen bandenmäßigen Computerbetruges und Geldwäsche in Russland, Georgien, der Ukraine, Moldawien, Bulgarien und den USA vor Gericht verantworten müssen. So konnte der mutmaßliche Administrator von „Avalanche“ in der Ukraine festgenommen werden, wo gegen ihn unter anderem aufgrund der durch die deutschen Behörden gewonnenen Erkenntnisse und Beweismittel Anklage erhoben werden soll. Der mutmaßliche Hauptverantwortliche für die Malware „URLzone“ wird in Aserbaidschan auf der Grundlage von ebenfalls in Deutschland gewonnenen Beweismitteln verfolgt. In Deutschland, von wo aus keine zentralen Tatbeiträge im Zusammenhang mit dem Aufbau und dem Betrieb von „Avalanche“ geleistet wurden, werden 2 Beschuldigte verfolgt, denen Geldwäsche in Bezug auf Gewinne aus der Malware „URLzone“ zur Last gelegt wird.
Die internationale Zusammenarbeit ist auch weiterhin erforderlich und wird fortgesetzt, um über das sog. Sinkholing die Nutzung der Infrastruktur „Avalanche“ dauerhaft zu unterbinden. Über ein im Rahmen des EMPACT Cyber-Attacks Projekts mit Mitteln der Europäischen Kommission finanziertes Programm werden fortlaufend infizierte Rechner gemeinsam durch das Bundesamt für Sicherheit in der Informationstechnik (BSI), das Fraunhofer Institut FKIE in Bonn und die amerikanisch-niederländische Shadowserver Foundation identifiziert und unschädlich gemacht, um zu verhindern, dass ggf. unbekannte Mittäter, die noch im Besitz von Programmcodes sind, „Avalanche“ wieder in Betrieb nehmen.
