Europol verlagert den Druck auf DDoS-Käufer

Die europäischen Strafverfolgungsbehörden haben eine neue Phase ihrer Kampagne gegen Distributed-Denial-of-Service-for-Hire-Operationen eingeleitet, indem sie über das Abschalten von Infrastruktur hinausgingen und angebliche Kunden direkt kontaktierten. Bei einer von Europol angekündigten koordinierten Aktion erklärten die Behörden, sie hätten Warn-E-Mails und Briefe an mehr als 75.000 Personen geschickt, die verdächtigt werden, für Dienste gezahlt zu haben, mit denen Websites offline geschaltet werden.

Die unter dem Namen PowerOFF durchgeführte Operation umfasste außerdem vier Festnahmen, 53 Domain-Beschlagnahmungen und 24 Durchsuchungsbeschlüsse. Die Größenordnung ist für sich genommen bedeutsam, doch die Methode ist womöglich das wichtigere Signal. Statt sich nur auf die Personen zu konzentrieren, die sogenannte Booter- oder Stresser-Dienste betreiben, nutzen Ermittler nun Daten aus beschlagnahmten Servern, um die registrierten Nutzer hinter diesen Angriffen zu identifizieren.

Damit ist die jüngste Durchsetzungsoffensive mehr als nur eine Aufräumaktion. Sie ist auch eine Abschreckungskampagne, die auf die Nachfrageseite der DDoS-Ökonomie abzielt, wo niedrige Einstiegshürden diese Dienste lange am Leben gehalten haben.

Warum DDoS-for-Hire-Dienste schwer auszurotten bleiben

DDoS-Angriffe sind nicht neu, bleiben aber attraktiv, weil sie vergleichsweise einfach auszulösen und oft hochgradig störend sind. Ein Kunde braucht keine fortgeschrittenen Einbruchsfähigkeiten, kein eigenes Botnet und kein tiefes technisches Wissen. Gegen eine Gebühr kann ein Dienst die Fähigkeit bieten, ein Ziel mit Traffic zu überfluten und Systeme so zu überlasten, dass eine Website, App oder ein Online-Dienst nicht mehr verfügbar ist.

Diese Bequemlichkeit hat dazu beigetragen, den Markt widerstandsfähig zu halten, obwohl die Strafverfolgung die Betreiber immer wieder zerschlagen hat. Europol erklärte, die jüngste Aktion sei möglich gewesen, weil Behörden Server im Zusammenhang mit den Diensten durchsucht und beschlagnahmt hätten, wodurch Ermittler Zugriff auf Unterlagen erhielten, mit denen sich Nutzer identifizieren ließen. Diese serverseitigen Beweise ermöglichten die ungewöhnlich große Kontaktaufnahme zu mutmaßlichen Kunden.

Die Taktik spiegelt eine praktische Wahrheit der Cybercrime-Bekämpfung wider: Infrastruktur lässt sich neu aufbauen, Domains können ersetzt werden, und Betreiber können unter neuen Marken wieder auftauchen. Wenn die Kundschaft diese Plattformen jedoch als unsicher wahrnimmt, wird das Geschäftsmodell schwerer aufrechtzuerhalten.