Der Senior Threat Researcher Will Thomas von Team Cymru half bei der Zerschlagung einer großen afrikanischen Cyberkrime-Bande im Rahmen von Operation Sentinel mit. Die internationale Aktion führte zu 574 Verhaftungen und der Stilllegung von über 6.000 Malware-Links.
In der Podcast-Serie Dark Reading Confidential spricht Moderatorin Becky Bracken mit Will Thomas von Team Cymru über seine Rolle bei der Zerschlagung einer Cyberkriminalitätssyndikats in Afrika. Operation Sentinel war ein massives Unterfangen: Über 19 Länder beteiligt, 574 Festnahmen, mehr als 6.000 malware Links stillgelegt und sechs Ransomware-Varianten entschlüsselt.
Thomas erklärt, wie Team Cymru dabei half: Das Unternehmen verfügt über umfassende NetFlow-Daten aus Hunderten von Partnerschaften weltweit. Damit konnte das Team nicht nur identifizieren, wo Cyberkriminelle ihre Befehls- und Kontrollserver hosten, sondern auch, welche Opfer infiziert waren. Mithilfe dieser Informationen konnten Interpol und lokale Behörden gezielt ermitteln.
Die Operation konzentrierte sich auf drei Schwerpunkte: Ransomware, Business Email Compromise und Datenerpressung. Thomas hat dafür sogar die “Ransomware Tool Matrix” entwickelt, die über 100 verschiedene Gangs und ihre Werkzeuge (wie Cobalt Strike) katalogisiert.
Ein kritischer Punkt ist die internationale Jurisdiktion: Während ein Angreifer in Russland einen Server in den Niederlanden betreiben und afrikanische Opfer infizieren kann, können lokale Behörden meist nur in ihren eigenen Ländern tätig werden. Interpol koordiniert solche multinationalen Einsätze.
Thomas beobachtet auch eine Verschiebung in der Bedrohungslandschaft. Während früher große Malware-Botnets wie Emotet oder TrickBot das Risiko konzentrierten, haben erfolgreiche Takedowns diese zerschlagen. Heute nutzen Kriminelle dezentralisierte Methoden: Info-Stealer-Malware, Brute-Force-Angriffe auf SSH und RDP sowie die Ausnutzung von Edge-Geräten.
Für angehende Threat Hunter hat Thomas einen wichtigen Rat: Beziehungen aufbauen und Vertrauen schaffen. Konferenzen besuchen, insbesondere solche, die Law Enforcement und private Sicherheitsunternehmen zusammenbringen, ist entscheidend. Auch Veranstaltungen wie die des UK NCSC können Türen öffnen.
Ein oft übersehener Aspekt: Thomas muss auch seine eigene Sicherheit und die seiner Familie schützen. Er bietet Cybersecurity-Schulungen an und schärft sein Umfeld regelmäßig ein, wie wichtig Vorsicht ist – denn ein Fehler einer nahestehenden Person könnte Konsequenzen haben.
Quelle: Dark Reading