Europol zerschlägt 27 DDoS-Plattformen in 15 Ländern: Administratoren verhaftet

BRÜSSEL / MÜNCHEN (IT BOLTWISE) – In einer koordinierten internationalen Operation hat Europol 27 sogenannte Stresser-Dienste, die für DDoS-Angriffe genutzt wurden, offline genommen. Diese Dienste, auch als Booter bekannt, ermöglichten es Cyberkriminellen, gezielte Angriffe auf Websites und Online-Dienste durchzuführen.

In einer groß angelegten internationalen Operation namens PowerOFF hat Europol in Zusammenarbeit mit 15 Ländern 27 Stresser-Dienste, die für DDoS-Angriffe genutzt wurden, offline genommen. Diese Plattformen, auch als Booter bekannt, erlaubten es Cyberkriminellen, gegen Bezahlung gezielte Angriffe auf Websites und Online-Dienste durchzuführen. Die betroffenen Dienste, darunter zdstresser.net, orbitalstress.net und starkstresser.net, nutzten Botnet-Malware auf kompromittierten Geräten, um die Angriffe zu starten.

Im Zuge der Operation wurden drei Administratoren dieser illegalen Plattformen in Frankreich und Deutschland verhaftet. Zudem wurden über 300 Nutzer identifiziert, die in geplante Operationen verwickelt waren. Die niederländische Polizei hat Anklage gegen vier Verdächtige im Alter von 22 bis 26 Jahren erhoben, die aus Rijen, Voorhout, Lelystad und Barneveld stammen und hunderte DDoS-Angriffe durchgeführt haben sollen.

Die Motivation hinter solchen Angriffen variiert von wirtschaftlichem Sabotage und finanziellem Gewinn bis hin zu ideologischen Gründen, wie sie von Hacktivisten-Kollektiven wie KillNet oder Anonymous Sudan verfolgt werden. Die beteiligten Nationen in der PowerOFF-Operation umfassen Australien, Brasilien, Kanada, Finnland, Frankreich, Deutschland, Japan, Lettland, die Niederlande, Polen, Portugal, Schweden, Rumänien, das Vereinigte Königreich und die Vereinigten Staaten.

Diese Entwicklung folgt auf die Ankündigung der deutschen Strafverfolgungsbehörden, die vor etwas mehr als einem Monat den kriminellen Dienst dstat[.]cc zerschlagen haben, der es anderen Bedrohungsakteuren ermöglichte, DDoS-Angriffe durchzuführen. Anfang dieses Monats berichtete das Web-Infrastruktur- und Sicherheitsunternehmen Cloudflare, dass Shopping- und Einzelhandelsseiten in den USA während der Black Friday/Cyber Monday-Saison einen signifikanten Anstieg der DDoS-Aktivitäten verzeichneten.

Cloudflare enthüllte auch, dass 6,5 % des globalen Datenverkehrs im Jahr 2024 als potenziell bösartig oder aus kundenspezifischen Gründen durch seine Systeme gemildert wurden. Unternehmen in der Glücksspiel-/Spielebranche waren in diesem Zeitraum am stärksten betroffen, gefolgt von den Sektoren Finanzen, Digital Native, Gesellschaft und Telekommunikation.

Die Erkenntnisse folgen auch der Entdeckung eines weit verbreiteten Fehlkonfigurationsfehlers in Unternehmensumgebungen, die einen CDN-basierten Web Application Firewall (WAF)-Dienst implementieren. Dieser Fehler könnte es Bedrohungsakteuren ermöglichen, Sicherheitsvorkehrungen zu umgehen und DDoS-Angriffe zu starten. Die Technik wurde als Breaking WAF bezeichnet.

Um das Risiko solcher Angriffe zu mindern, wird Organisationen empfohlen, den Zugriff auf ihre Webanwendungen durch die Einführung von IP-Whitelistings, HTTP-Header-basierter Authentifizierung und gegenseitig authentifiziertem TLS (mTLS) zu beschränken.