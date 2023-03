Bei einer international konzertierten Aktion haben Strafverfolger in der vergangenen Woche eine Domain beschlagnahmt, die Cyberkriminelle zum Verkauf von Malware genutzt haben. Mit der Schadsoftware hätten Täter die Kontrolle über infizierte Computer übernommen und diverse Informationen gestohlen.

Bei der Aktion haben kroatische Strafverfolger einen Kroaten verhaftet, der einer Meldung des US-Justizministeriums zufolge der vermeintliche Administrator der Webseite war. Kroatische Behörden werden Anklage gegen ihn erheben. Auf der Webseite soll der Netwire Remote-Access-Trojan (RAT) verkauft worden sein. Die Server, auf denen die Webseite sowie die Netwire-Infrastruktur gehostet wurde, haben zudem Ermittler in der Schweiz beschlagnahmt.

Netwire-RAT: Im Untergrund beworben

Ein solches Remote-Access-Toolkit oder -Trojan lässt sich zur Fernverwaltung von Computern nutzen, wird jedoch von Cyberkriminellen regelmäßig zum Einbrechen und weiteren Vordringen und Einnisten in Opfer-Netzwerken missbraucht. Bösartige Akteure nutzen RATs als Backdoor, um Zugriff auf das Netzwerk zu behalten.

Während die Website Netwire als legitimes Business-Tool zur Wartung der IT-Infrastruktur vermarktete, heißt es in einer eidesstattlichen Erklärung, dass sich hinter Netwire eine Malware verberge, die für böswillige Zwecke zum Einsatz komme. Die Software wurde demzufolge in Untergrundforen beworben. Zahlreiche Cyber-Sicherheitsunternehmen und Regierungsbehörden haben Fälle dokumentiert, in denen das Netwire-RAT für kriminelle Aktivitäten eingesetzt wurde.

Das FBI hat bereits 2020 die Ermittlungen bezüglich der Webseite worldwidelabs aufgenommen, die einzig Bekannte, die das Netwire-RAT verkauft hat. Undercover-Ermittler hätten ein Konto dort erstellt und ein Abonnement abgeschlossen. Zudem hätten sie mit dem bereitgestellten Builder-Tool eine individuelle Version des Netwire-RAT erstellt.

Internationale Zusammenarbeit

Der Schlag gegen die Drahtzieher des Netwire-RAT gelang aufgrund der engen Zusammenarbeit der Strafverfolger aus den USA mit kroatischen und anderen globalen Partnern, erklärt die US-Staatsanwaltschaft in der Meldung. Die FBI-Außenstelle in Los Angeles, das kroatische Innenministerium, die Direktion der Kriminalpolizei, die Kantonspolizei Zürich in der Schweiz, das Europol European Cybercrime Center und die australische Bundespolizei haben in dieser Angelegenheit ermittelt.

Cyberkriminelle dürfen sich nicht in Sicherheit wiegen. Immer wieder gelingen Schläge gegen die Täter und deren IT-Infrastruktur. So konnte kürzlich etwa ein Niederländer festgenommen werden, der österreichische Melderegister und Krankenakten verkauft hatte.

(dmk)