Niedersächsische Ermittler schalten erneut weltweites Botnetz ab

Ein Verdächtiger in Weißrussland festgenommen

Ermittler aus Niedersachsen haben erneut ein globales Botnetz zur Verbreitung von Schadsoftware lahmgelegt. Wie die Polizei in Lüneburg und die Staatsanwaltschaft Verden am Montag mitteilten, planten sie die Aktion gemeinsam mit der US-Bundespolizei FBI. Beteiligt waren auch die EU-Polizeibehörde Europol und Ermittler in 25 weiteren Ländern von Finnland bis Pakistan.

Über das Botnetz wurde den Angaben zufolge eine Schadsoftware verbreitet, die Computer ausspähte und Trojaner nachlud, um deren Besitzer bei Bankgeschäften per Internet zu schädigen. "Mittels dieser Schadsoftware gelang es den Tätern in den letzten Jahren mehrere Millionen PC-Systeme zu infizieren", erklärten die Ermittler. Hauptsächlich betroffen gewesen seien Nordamerika, Asien und Europa - dort unter anderem Deutschland.

Die Ermittlungen zu dem Botnetz führte ursprünglich seit 2015 das FBI mit dem Softwareunternehmen Microsoft. Nachdem die Experten der zentralen Kriminalinspektion Lüneburg im vorigen Jahr das gigantische Botnetz "Avalanche" zerschlagen hatten, baten die US-Behörden diese um Hilfe. Sowohl "Avalanche" als auch das jetzt lahmgelegte Netz verbreiteten dieselbe Schadsoftware.

Gemeinsam analysierten die Experten die Struktur des Netzwerks und konnten die relevanten Knotenpunkte identifizieren. Nach Angaben der niedersächsischen Behörden führten Ermittlungen des FBI zu einem Verdächtigen in Weißrussland, der dort vor etwa einer Woche festgenommen wurde. Zudem schalteten die Ermittler sieben Steuerungsserver in sechs Ländern ab.

Darüber hinaus lenkten sie den Internetverkehr von 1500 zur Verbreitung der Schadsoftware namens "Andromeda" genutzten Domains durch sogenannte Sinkholingmaßnahmen um, um das Netz abzuschalten und Informationen über Betrugsopfer zu sammeln. Allein am 30. November seien auf diese Weise weltweit 1,35 Millionen betroffene IT-Systeme identifiziert worden, hieß es.

Die Software wurde von dem im Botnetz zusammengeschlossenen Rechnern demnach einerseits per E-Mails mit infizierten Links verbreitet, zum anderen auch über manipulierte Werbebanner oder Webseiten. Mit der Benachrichtigung der identifizierten Opfer sei umgehend begonnen worden, berichteten die Behörden.

Die Zerschlagung des gigantischen Botnetzes "Avalanche" hatten die Ermittler in Lüneburg und Verden vor fast genau einem Jahr bekanntgegeben. Nach vierjährigen Ermittlungen waren damals 39 Server mit hunderttausenden Domains abgeschaltet worden, die auf Computer in 180 Staaten zugriffen. Europol schätzte den Schaden auf mehrere hundert Millionen Euro. 16 Verdächtige wurden festgenommen.