EUROPOL geht gegen Vertreibernetzwerk des "Imminent Monitor Remote Access Trojan" vor > Cybercrime Blog

Lange war es um Remote Access Trojaner (RAT) – Hacking-Tool, das Cyberkriminellen die vollständige Fernsteuerung des Computers eines Opfers ermöglicht – still, nun teilt EUROPOL mit, dass im Zuge einer internationalen Strafverfolgungsmaßnahme, die sich an die Verkäufer und Benutzer des Imminent Monitor Remote Access Trojan („IM-RAT“) richtete, ein entsprechendes (Verteiler-)Netzwerk abgeschaltet wurde. Die Dimensionen sind beachtlich, sowohl was die Zahl der Opfer aber auch die Zahl der Täter angeht.

Inhalte Anzeigen

Umfangreiche Ermittlungen

Die Dimensionen des Falls sind durchaus aufsehenerregend: Die Software wurde in 124 Ländern eingesetzt und an mehr als 14 500 Käufer verkauft.

Vorausgegangen waren im Juni 2019 Durchsuchungen in Australien und Belgien, die sich gegen den Entwickler und einen Mitarbeiter von IM-RAT richteten. Nunmehr, im November 2019, wurde eine „internationale Aktionswoche“ der Ermittler durchgeführt, die zum Stillstand der Infrastruktur des Imminent Monitor und zur Verhaftung von 13 der produktivsten Nutzer dieses Remote Access Trojaners (RAT) führte. Über 430 Geräte wurden beschlagnahmt und werden derzeit ausgewertet, weitere Ermittlungsmaßnahmen dürften folgen.

Dabei zeigt sich wieder einmal, wie Ermittler im Bereich Cybercrime international zusammenarbeiten und auch zusammenarbeiten müssen um etwas zu erreichen: Die von der australischen Bundespolizei (AFP) geleitete Untersuchung, deren internationale Aktivitäten von Europol und Eurojust koordiniert wurden, führte zu einer Operation, an der zahlreiche Justiz- und Strafverfolgungsbehörden beteiligt waren, namentlich in: Australien, Kolumbien, Tschechien, die Niederlande, Polen, Spanien, Schweden und das Vereinigte Königreich.

Zahlreiche Betroffene?

EUROPOL geht davon aus, dass die Zahl der Opfer in die Zehntausende geht, wobei die Ermittler angeblich bereits Beweise für gestohlene persönliche Daten, Passwörter, private Fotos, Videomaterial und Daten identifiziert haben.

Das perfide war, dass hier zum Schnäppchenpreis von 25 Euro ein Zugriff ermöglich wurde, also zielgerichtete Angriffe gegen jedermann gegen kleinste „Gebühren“ angestrebt werden konnten.

Dabei muss jedem klar sein, dass heute zielgerichtete Angriffe für kleines Geld eingekauft werden können – ehemaliger Arbeitnehmer, unzufriedene Kunden, Konkurrenten … die Liste möglicher am Angriff interessierter ist meist länger als man zuerst vermutet. Doch es geht bei einer Buchung alleine um einen Angriff; solange die Schadsoftware nicht installiert wird, verbleibt es im Angriffsstadium. Daher betonen Behörden und Sicherheitsberater vollkommen zu Recht, dass man selber auch gefordert ist: Aktuelle Systeme müssen eingesetzt werden, zumindest eine brauchbare Software-Firewall sollte im Einsatz sein und man sollte fremde Daten nicht öffnen.

Angriffsszenarien

Gerade der letzte Ratschlag kann nicht oft genug betont werden: Seien Sie nicht so sorglos mit Daten, wie ich es immer wieder beobachte.

Wenn jemand einen Angriff gegen Sie beauftragt, muss der Angreifer in Ihr System eindringen. Der einfachste Weg ist eine gut gemachte Mail mit Dateianhang (der Auftraggeber hat ggfs. Daten über Sie, die eine personalisierte Mail erleichtern!); bereits etwas komplexer aber immer noch mit überschaubarem Aufwand kann der Angreifer den Auftraggeber auch mit der Schadsoftware ausstatten, die dieser mittels USB-Stick oder sonstigem Datenträger bei Ihnen installiert. Der Auftraggeber kann insoweit seinen Vertrauensvorsprung ggfs. ausnutzen, wird dies aber auf unmittelbarem Wege scheuen, um die Zurückverfolgung zu ihm zu erschweren. Da viele Menschen so dumm sind, gefundene USB-Sticks aus Neugierde in ihr System einzustecken, bieten sich auch hier leichte Wege.