Größter Schlag gegen Botnetze durch Europol – Monero-Hashrate fällt massiv

Hauptgebäude von Europol in Den Haag. Quelle: Bildergallerie auf der Webseite von Europol.

Mit der „Operation Endgame“ hat Europol die sogenannten „Dropper“ angegriffen. Dies könnte die Infrastruktur von Ransomware nachhaltig schädigen – aber auch das Mining von Monero dürfte betroffen sein.

Wer die Hashrate von Monero beobachtet, konnte Ende Mai etwas Interessantes erkennen: Sie sank von 2,9 Gigahash am 29. Mai auf 1,78 Gigahash am 31. Mai, verlor also mehr als ein Drittel innerhalb von zwei Tagen und steht nun auf dem tiefsten Stand seit drei Jahren.

Den Grund für diesen beispiellosen Fall könnte man in Den Haag vermuten, nämlich im Hauptquartier von Europol. Dort fand zwischen dem 27. und 29. Mai die „Operation Endgame“ statt. Diese kulminierte in einem starken Schlag gegen sogenannte „Dropper“.

Hashrate von Monero nach coinwarz.com

Dropper sind eine Malware. Sie infizieren andere Systeme, richten aber selbst keinen Schaden an, sondern dienen als trojanisches Pferd für andere Malware, als ihr Einfallstor. In der zunehmend arbeitsteiligen Welt des Cybercrime nutzen die Dropper den Zugang in der Regel nicht selbst, sondern verkaufen ihn im Darknet an andere Cyberkriminelle.

In der laut Europol „größten Aktion aller Zeiten gegen Botnetze “ haben zahlreiche europäische Polizeieinheiten unter der Führung von Frankreich, Deutschland und den Niederlanden zusammengearbeitet. In einer konzertierten Aktion haben sie mehr als 100 Server abgeschaltet, mehr als 2000 Domains konfisziert, 16 Häuser durchsucht – davon 11 in der Ukraine – und vier Personen verhaftet — davon drei in der Ukraine. Offenbar war die Ukraine ein operatives Zentrum der Dropper.

„Operation Endgame“ hat zahlreiche Dropper ausgeschaltet, darunter IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee und Trickbot. Diese infizierten und öffneten andere Systeme auf ihre jeweils eigene Weise. Mit den Droppern hat Europol eine wichtige Infrastruktur der Cyberkriminalität angegriffen, was tatsächlich ein kluger Schachzug sein könnte, um die Ausbreitung von Malware nachhaltig zu hemmen.

Nach der Aktion sind acht Cyberkriminelle flüchtig und wurden auf die Liste von „Europe’s Most Wanted“ gesetzt. Im Zuge der Ermittlungen hat Europol festgestellt, dass einer der Hauptverdächtigen mindestens 69 Millionen Euro in Kryptowährungen verdient hat, indem er den Drop an Ransomware-Hacker vermietete. „Die Transaktionen des Verdächtigen werden fortlaufend überwacht, und die gesetzlichen Voraussetzungen, um sie in Zukunft zu konfiszieren, wurden bereits erfüllt.“

Der Schaden durch die Infektionen über das Botnetz beläuft sich in Europa laut Europol auf mehrere hundert Millionen Euro. Die Operation werde, erklärt die Polizeiorganisation, fortgesetzt: Es wird weitere Verhaftungen geben, weitere Dropper und Botnetze werden abgeschaltet werden.

Die Pressemitteilung erwähnt zwar nur Ransomware, doch es ist gut vorstellbar, dass über die Dropper auch Cryptojacking betrieben wurde. Cryptojacking bedeutet, dass eine Mining-Software installiert wird, die ohne das Wissen oder die Zustimmung des Users arbeitet. Schon im Januar hat Europol in der Ukraine einen Cryptojacker verhaftet.

Wegen der Resistenz gegen Asic- und auch GPU-Mining eignet sich Monero besonders gut fürs Cryptojacking. Die Währung ist nicht nur lukrativ mit der CPU zu minen – dem einzigen sicher verfügbaren und wettbewerbsfähigen Bauteil infizierter Systeme – sondern erspart wegen der standardmäßigen Anonymität der Transaktionen auch den Aufwand, die Coins zu waschen. Schon 2018 wurde bekannt, dass Monero der bevorzugte Coin von Cryptojackern ist.

Für Europol dürfte es nicht ganz einfach sein, diese Aktivitäten nachzuweisen, insbesondere den Ertrag durch sie. Doch das Timing des massiven Abfalls der Hashrate von Monero zur Operation Endgame ist ein großes Stück zu passend, um nur ein Zufall zu sein.