KimWolf wurde nach Angaben der Ermittler in diesem Jahr im Zuge einer internationalen Strafverfolgungsaktion zerschlagen, an der Behörden in den USA, Kanada und Deutschland sowie mehrere Cybersicherheitsunternehmen beteiligt waren. Dabei beschlagnahmten die Ermittler die Infrastruktur von KimWolf und weiterer Botnetze, darunter Aisuru, JackSkid und Mossad.

Das Botnetz bestand laut Justizministerium typischerweise aus Geräten hinter Firewalls, etwa digitalen Bilderrahmen und Webcams. Die Betreiber verkauften den Zugang zu diesen Geräten an Kriminelle, die sie unter anderem für DDoS-Angriffe auf Unternehmen einsetzten. In mindestens einem Fall richtete sich ein solcher Angriff gegen IP-Adressen des US-Verteidigungsministeriums.

„KimWolf wurde mit DDoS-Angriffen in Verbindung gebracht, die mit fast 30 Terabit pro Sekunde gemessen wurden – ein Rekord beim erfassten Angriffsvolumen", erklärte die Staatsanwaltschaft. „Diese Angriffe führten zu finanziellen Schäden, die bei einigen Opfern eine Million Dollar überstiegen. Dem KimWolf-Botnetz wird vorgeworfen, über 25.000 Angriffsbefehle abgesetzt zu haben." Bereits zuvor hatte das Justizministerium erklärt, Opfer hätten durch Wiederherstellungskosten oder Lösegeldforderungen Hunderttausende Dollar verloren – die Angreifer hätten ihre Überlastungsangriffe nur gegen Bezahlung eingestellt.

Laut den Gerichtsdokumenten wurde Butler über seine IP-Adresse, Kontoinformationen, Transaktionen und Online-Nachrichten mit der Verwaltung des Botnetzes in Verbindung gebracht. Das Justizministerium entsiegelte zudem Beschlagnahmebeschlüsse gegen weitere Dienste, die zusätzliche 45 DDoS-for-hire-Plattformen unterstützten, darunter mindestens eine, die mit KimWolf zusammenarbeitete.

DDoS-Abwehrunternehmen wie Cloudflare hatten jahrelang vor KimWolf gewarnt. Zuletzt schrieb das Unternehmen, das Botnetz verfüge über Tausende Geräte und könne Angriffe ausführen, die „kritische Infrastrukturen lahmlegen, die meisten älteren cloudbasierten DDoS-Schutzlösungen zum Absturz bringen und sogar die Anbindung ganzer Staaten stören" könnten.

In einem Blogbeitrag schrieb Amazon-Vizepräsident Tom Scholl, das Unternehmen habe dem FBI und dem Verteidigungsministerium geholfen, die Steuerungsinfrastruktur des Botnetzes zu identifizieren und die Schadsoftware durch Reverse Engineering zu analysieren. KimWolf sei ein neuartiges Botnetz gewesen, weil es auf Netzwerke privater Proxys abzielte und über kompromittierte Geräte in Heimnetzwerke eindrang – darunter Streaming-TV-Boxen und andere IoT-Geräte.