CyberkriminalitätSchwachstellenHackerangriffe

Kanadier wegen Betrieb des KimWolf-Botnetzes verhaftet – eine der größten DDoS-Plattformen der Welt zerschlagen

Von CyberDeutsch Redaktion
Kanadier wegen Betrieb des KimWolf-Botnetzes verhaftet – eine der größten DDoS-Plattformen der Welt zerschlagen
Zusammenfassung

Ein kanadischer Mann wurde diese Woche verhaftet, weil er das KimWolf-Botnetz betrieb – eine der größten und schädlichsten DDoS-Plattformen weltweit. Der 23-jährige Jacob Butler aus Ottawa soll über eine Million Geräte weltweit infiziert und diese als DDoS-for-Hire-Service an Cyberkriminelle vermietet haben. Das Botnetz war für Attacken mit einer Rekordstärke von knapp 30 Terabit pro Sekunde verantwortlich und verursachte bei einzelnen Opfern Schäden von über einer Million Dollar. Die internationale Strafverfolgung zerschlug KimWolf im März in einer koordinierten Operation zwischen den USA, Kanada, Deutschland und mehreren Cybersicherheitsfirmen. Für deutsche Unternehmen und Behörden ist dieser Fall besonders relevant, da solche Botnetz-Infrastrukturen auch hierzulande kritische Systeme gefährden können. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt regelmäßig vor DDoS-Angriffen auf deutsche Institutionen und kritische Infrastruktur. Die Verhaftung zeigt, dass internationale Zusammenarbeit bei der Bekämpfung von Cyberkriminalität funktioniert, unterstreicht aber auch die anhaltende Bedrohung durch professionalisierte Botnetz-Operatoren für Unternehmen und öffentliche Einrichtungen in Deutschland.

Das KimWolf-Botnet war nicht einfach nur ein technisches Instrument der Cyberkriminalität – es war ein professionell organisiertes DDoS-as-a-Service-Geschäftsmodell im Darknet. Die Betreiber monetarisierten ihre Infrastruktur, indem sie Zugriff auf infizierte Geräte an andere Cyberkriminelle verkauften, die damit Zielunternehmen mit massiven Datenflutangriffen bombarierten.

Wie groß war die Bedrohung wirklich? Nach Angaben der US-Justiz erreichte das KimWolf-Botnet DDoS-Attacken von fast 30 Terabit pro Sekunde – ein Rekord in der aufgezeichneten Angriffsgeschichte. Die Justizakte dokumentiert über 25.000 Angriffsbefehle, die vom Botnet ausgingen. In mindestens einem Fall zielten die Angreifer auf IP-Adressen des US-amerikanischen Verteidigungsministeriums ab. Einige Opfer verloren über eine Million Dollar durch Sanierungskosten oder Lösegelderpressungen.

Die Ermittlung gelang durch eine bemerkenswerte internationale Zusammenarbeit: Behörden aus den USA, Kanada, Deutschland und mehreren Cybersicherheitsfirmen arbeiteten koordiniert. Im März 2024 wurde das Botnet abgeschaltet – zusammen mit verwandten Infrastrukturen für mindestens 45 weitere DDoS-for-Hire-Plattformen wie Aisuru, JackSkid und Mossad.

Besonders bemerkenswert ist die technische Neuheit des KimWolf-Ansatzes: Das Botnet zielte auf Heimnetzwerke ab und infiltrierte Streaming-TV-Boxen, Kameras und andere IoT-Geräte hinter Firmenfirewalls – eine Taktik, die traditionelle Sicherheitskonzepte unterläuft. Amazon-VP Tom Scholl berichtete, dass das Unternehmen der FBI bei der Identifikation der Kommando-Infrastruktur half und die Malware reverse-engineerte.

Broker Jacob Butler war zunächst vom Cybersecurity-Journalist Brian Krebs im Februar identifiziert worden. Die Vernetzung über IP-Adressen, Konten, Transaktionen und Online-Nachrichten führte zur Anklage wegen Beihilfe zu Computer-Eindringlingen.

Für deutsche Unternehmen und kritische Infrastruktur unterstreicht dieser Fall eine zentrale Warnung: DDoS-as-a-Service-Plattformen sind kostengünstige Angriffswaffen für Erpresser und Konkurrenten geworden. Das BSI empfiehlt Netzwerk-Segmentierung, DDoS-Schutzlösungen und regelmäßige Sicherheitsaudits für kritische Systeme.

Ähnliche Artikel