Operation Secure: INTERPOL stört 20.000 Infostealer-Domains, 32 Festnahmen

Im Rahmen einer von INTERPOL koordinierten internationalen Cybercrime-Operation wurden im gesamten asiatisch-pazifischen Raum über 20.000 bösartige IP-Adressen und Domänen außer Gefecht gesetzt, die zur Verbreitung von Infostealer-Malware verwendet wurden.

Die viermonatige Razzia (Januar bis April 2025) unter dem Namen „Operation Secure“ brachte Strafverfolgungsbehörden aus 26 Ländern und private Cybersicherheitspartner zusammen, um die wachsende Cyberkriminalitätsinfrastruktur rund um datenstehlende Schadsoftware zu zerschlagen. Die Aktion führte außerdem zu 32 Festnahmen, 41 Serverbeschlagnahmungen und der Erfassung von über 100 GB krimineller Daten.

Infostealer-Malware ist zu einem beliebten Werkzeug für Cyberkriminelle geworden, die schnell auf persönliche und Unternehmensinformationen zugreifen möchten. Nach der Installation entwendet sie unbemerkt Browser-Anmeldeinformationen, E-Mail-Logins, Cookies, Krypto-Wallet-Daten und mehr. Diese Informationen werden dann auf illegalen Marktplätzen verkauft und ermöglichen so eine Vielzahl von Angriffen, darunter Ransomware, Business-E-Mail-Compromise ( BEC ) und Online-Betrug.

„Von Infostealern gestohlene Protokolle sind oft der Ausgangspunkt für größere Sicherheitsverletzungen“, sagte Neal Jetton, Direktor der Cybercrime-Abteilung von INTERPOL. „Das Abschneiden dieser ersten Zugangspunkte unterbricht größere kriminelle Aktivitäten.“

Die Operation stützte sich auf Cyber-Intelligence-Berichte von Group-IB, Kaspersky und Trend Micro. Diese Berichte halfen INTERPOL und nationalen Behörden, verdächtige Infrastrukturen frühzeitig zu identifizieren, was zu einer 79-prozentigen Entfernungsquote der markierten IPs beitrug.

Die Hongkonger Polizei spielte eine entscheidende Rolle. Sie analysierte über 1.700 Hinweise und identifizierte 117 Command-and-Control-Server bei 89 Internetanbietern. Diese Server wurden zur Koordination von Phishing-Betrug, Social-Engineering-Angriffen und Kontoübernahmen genutzt.

Die vietnamesischen Behörden verhafteten 18 Verdächtige, darunter einen Anführer, bei dem Firmenregistrierungsdokumente, SIM-Karten und über 300 Millionen Dong (ca. 11.500 US-Dollar) in bar gefunden wurden. Hinweise deuten darauf hin, dass die Gruppe an der Einrichtung und dem Verkauf von Firmenkonten beteiligt war.

Weitere Festnahmen erfolgten in Sri Lanka und Nauru. Dort führten koordinierte Razzien zur Festnahme von 14 Personen und zur Identifizierung von 40 Opfern. Geräte wurden sowohl in Privathaushalten als auch am Arbeitsplatz beschlagnahmt, was eher auf strukturierte Cyberkriminalität als auf die Tätigkeit einzelner Hacker hindeutet.

Nach der Demontage der Infrastruktur alarmierten die Behörden über 216.000 Opfer und potenzielle Opfer. Die Betroffenen wurden aufgefordert, ihre Passwörter zu ändern, ihre E-Mail-Konten zu sichern, kompromittierte Finanzdienste zu sperren und ihre Geräte zu scannen.

Operation Secure wurde im Rahmen der ASPJOC (Asia and South Pacific Joint Operations Against Cybercrime) durchgeführt. Zu den teilnehmenden Ländern zählten große Akteure wie Indien und Japan sowie kleinere Inselstaaten wie Kiribati, Vanuatu und Tonga. Dies unterstreicht das regionale Engagement zur Bekämpfung der Cyberkriminalität auf allen Ebenen.

Während sich die Aktivitäten von Infostealern weiter ausbreiten , zeigen die Ergebnisse dieser Razzia, dass selbst weit verteilte kriminelle Infrastrukturen mit der richtigen Mischung aus Informationen, Schnelligkeit und grenzüberschreitender Zusammenarbeit gestört werden können.