Europol friert $47M in Krypto bei globaler Infostealer-Zerschlagung ein.

Strafverfolgungsbehörden haben im Rahmen der Operation Endgame mehr als 41 Millionen Euro (ungefähr 47 Millionen US-Dollar) an Kryptowährungen aus Straftaten eingefroren, gab Europol am Mittwoch bekannt. Die zweiwöchige, mehrere Länder umfassende Operation zerschlug die Infrastruktur hinter drei Malware-Familien – SocGholish, Amadey und StealC – die Passwörter und Krypto-Wallet-Daten stehlen, um Betrug und Ransomware-Angriffe zu ermöglichen. Der Schlag richtete sich gegen Plattformen für Cybercrime-as-a-Service, die Krypto-Wallets leise leeren, indem sie Anmeldeinformationen und private Schlüssel von infizierten Systemen abgreifen.

Malware-Familien zielen auf Krypto-Wallet-Anmeldedaten

Alle drei Malware-Familien zielen mit unterschiedlichen Angriffsvektoren speziell auf Krypto-Nutzer ab. StealC, ein seit 2023 als Dienstleistung verkaufter Infostealer, greift Passwörter, Browser-Cookies und Krypto-Wallet-Daten von infizierten Maschinen ab. Forscher von Proofpoint fanden heraus, dass das Kontrollpanel ein Plugin enthielt, das versuchte, Seed-Phrasen aus den MetaMask-Wallets der Opfer zu entschlüsseln.

Amadey stellt einen ersten Systemzugang her und setzt zusätzliche Malware ein. SocGholish, das mit der russischen Gruppe Evil Corp in Verbindung steht, infiziert Nutzer über gefälschte Browser-Update-Aufforderungen auf kompromittierten Websites. Die Malware-Kette gipfelt in geleerten Wallets, Kontoübernahmen und dem Einsatz von Ransomware.

Infostealer sind zu einem primären Weg für gestohlene Kryptowährungen geworden, indem sie Wallet-Dateien, private Schlüssel und Seed-Phrasen von den Geräten der Opfer extrahieren. Zu den Angriffsvektoren gehören gefälschte KI-Tools, Steam-Hintergrundbilder und modifizierte Raubkopien von Spielen.

Polizei zerschlägt 326 Server und birgt 27 Millionen Anmeldedaten

Die Operation legte 326 Server und 142 Domains lahm. Die Polizei barg fast 27 Millionen gestohlene Anmeldedaten von mehr als 385.000 kompromittierten Systemen und bereinigte nahezu 15.000 infizierte Websites, von denen viele kleinen Unternehmen gehörten.

Microsoft, ein Partner der Operation, brachte Amadey und StealC allein in den ersten beiden Maiwochen mit über 140.000 infizierten Computern weltweit in Verbindung. Eine frühere Operation-Endgame-Aktion Ende letzten Jahres deckte Anmeldedaten für mehr als 100.000 Krypto-Wallets auf, die von Opfern gestohlen, aber noch nicht geleert worden waren.

Microsoft reicht RICO-Klage gegen Malware-Betreiber ein

Die Digital Crimes Unit von Microsoft reichte in den USA eine Kartellklage (RICO) ein, die zwei Malware-Familien als eine einzige kriminelle Verschwörung behandelt. Mithilfe von KI-Tools einschließlich Copilot zur Analyse der Malware fanden die Ermittler heraus, dass Amadey und StealC, obwohl von verschiedenen Kriminellen entwickelt, auf einer gemeinsamen Infrastruktur liefen.

Die rechtliche Schritte erlaubten es Microsoft, die Unterstützer beider Operationen nach dem RICO-Gesetz anzuklagen und mehr als 200 Kommando- und Kontrollserver zu stören. Das Unternehmen hat über 18.000 Opfercomputer identifiziert und begonnen, die Kontrolle der Angreifer zu kappen.

Opferwarnungen über den Dienst Have I Been Pwned

Europol und seine Partner leiten Opferwarnungen über Dienste wie Have I Been Pwned weiter, sodass Nutzer prüfen können, ob ihre Anmeldedaten und Krypto-Wallet-Schlüssel in kriminellen Händen sind. Die Betreiber von StealC haben noch in diesem Monat eine neue Malware-Build ausgeliefert.

FAQ

Was gab Europol am Mittwoch bezüglich der Operation Endgame bekannt? Europol gab bekannt, dass Strafverfolgungsbehörden im Rahmen einer zweiwöchigen, mehrere Länder umfassenden Operation mehr als 41 Millionen Euro (47 Millionen US-Dollar) an Kryptowährungen aus Straftaten eingefroren und die Infrastruktur hinter drei Malware-Familien – SocGholish, Amadey und StealC – zerschlagen haben.

Wie viele Server und Anmeldedaten hat die Polizei bei der Zerschlagung im Rahmen der Operation Endgame sichergestellt? Die Polizei legte 326 Server und 142 Domains lahm, barg fast 27 Millionen gestohlene Anmeldedaten von mehr als 385.000 kompromittierten Systemen und bereinigte nahezu 15.000 infizierte Websites während der Operation.