Cybercrime-Netz mit Opfern auch in Österreich zerschlagen

Die koordinierte Operation "Lightning" wurde von Europol gemeinsam mit Strafverfolgungsbehörden aus Österreich, Frankreich, den Niederlanden und den Vereinigten Staaten sowie mit Unterstützung von Eurojust durchgeführt, wurde auf der Internetseite des BK erläutert. 27 Internet-Domains sowie sieben sogenannte Command-and-Control-Server (C2) in Frankreich, den Niederlanden und den Vereinigten Staaten wurden abgeschaltet und sichergestellt.

"Ich gratuliere allen beteiligten Behörden und Ermittlerinnen und Ermittlern zu diesem bedeutenden Erfolg. Die Operation 'Lightning' zeigt einmal mehr, dass nur durch enge internationale Kooperation und professionellen Informationsaustausch nachhaltige Erfolge im Kampf gegen Cyberkriminalität erzielt werden können", betonte BK-Direktor Andreas Holzer. Im Zuge der weiteren Ermittlungen erstellen die niederländischen Behörden derzeit Analysepakete mit Informationen zu kompromittierten IP-Adressen. Diese werden an die jeweils betroffenen Staaten übermittelt, um dort weitere strafrechtliche Ermittlungen und Maßnahmen einzuleiten.

Die Ermittlungen waren im Juni 2025 durch die bei Europol angesiedelte Joint Cybercrime Action Taskforce (J-CAT) eingeleitet worden. Im Zuge der internationalen Zusammenarbeit stellten Ermittler fest, dass ein umfangreiches Botnetz aus infizierten Geräten aufgebaut wurde. Bei den betroffenen Geräten handelte es sich überwiegend um private Kabelmodems älterer Generationen mit einer Sicherheitslücke.

Nutzer von "Socks Escort" konnten gegen Bezahlung entsprechende Zugänge beziehungsweise Lizenzen erwerben, um die kompromittierten Geräte als Proxy-Infrastruktur zu missbrauchen. Dadurch war es möglich, die eigene tatsächliche IP-Adresse zu verschleiern und Straftaten anonym über die infizierten Geräte auszuführen.

Auch Netzwerke in Österreich kompromittiert

Im Zuge einer Ransomware-Ermittlung war das Cybercrime-Competence-Center (C4) im österreichischen Bundeskriminalamt bereits im August 2024 auf "Socks Escort" aufmerksam geworden. Erste Analysen ergaben, dass zu diesem Zeitpunkt bereits Dutzende österreichische Netzwerke, darunter sowohl Privathaushalte als auch kleinere Unternehmen, kompromittiert waren und Teil des kriminellen Netzwerks wurden.

Durch umfangreiche Netzwerk-, Malware- und Blockchainanalysen gelang es unter anderem, eine Live-Infizierung eines Routers zu dokumentieren, die eingesetzte Schadsoftware zu extrahieren sowie zahlreiche Server der Täterinfrastruktur zu identifizieren, berichtete das BK am Donnerstag. Im Rahmen der österreichischen Ermittlungen seien im September 2025 mehrere Maßnahmen gegen die Täterinfrastruktur gesetzt worden.

Insgesamt wurden mehr als 700 IP-Adressen in Österreich gekapert. Die kompromittierten Router müssen nun ausgetauscht werden, sagte BK-Sprecher Heinz Holub-Friedreich auf APA-Nachfrage zum in Österreich entstandenen Schaden.

Updates schützen vor Angriffen

Die Ermittlungen zeigen erneut, wie wichtig die regelmäßige Aktualisierung von Firmware und Sicherheitsupdates bei internetfähigen Geräten ist, betonte das BK. Geräte, für die keine Sicherheitsupdates mehr bereitgestellt werden, sollten aus Sicherheitsgründen durch aktuelle Modelle ersetzt werden.