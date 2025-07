Internationale Strafverfolgungsbehörden hatten im Mai und Juli Fahndungserfolge gegen global aktive Cybercrime-Banden gefeiert. Zuerst meldete unter anderem Europol, die Infrastruktur der Malware "Lumma Stealer" sei abgeschaltet worden. Kaum zwei Monate später konstatierte ebenfalls Europol zusammen mit der Schweizer Bundesanwaltschaft, ihr sei ein Schlag gegen die DDoS-Bande Noname057(16) gelungen.

Mittlerweile melden mehrere Security-Spezialisten, beide Banden seien weder zerschlagen worden noch inaktiv. Vielmehr seien von " Lumma Stealer " verbesserte Varianten im Umlauf und die als prorussisch eingestufte Noname-Gang attackiere weiterhin fleissig Websites in Europa.

Besser tarnen und täuschen

Der erneuerte Infostealer Lumma hat es laut einem Bericht der Sicherheitsforscher von Trend Micro weiterhin auf Anmeldedaten für Online-Konten, Browserdaten und Krypto-Wallets abgesehen. Neu tarne sich die Malware mithilfe gängiger Software-Komponenten, um weniger verdächtig zu wirken. Für die Kommandoserver würden den Experten zufolge vermeintlich legitime Domains genutzt, was die Entdeckung ebenfalls erschwere. Zudem verwende die Infrastruktur hinter dem Infostealer Schutzmechanismen wie Cloudflare, um ihre Spuren zu verwischen.

Laut den Sicherheitsforschern demonstriert der Fall Lumma Stealer, wie anpassungsfähig und hartnäckig die Cyberkriminellen sind: "Trotz einer gross angelegten Strafverfolgungsaktion konnten sie ihre Infrastruktur schnell erneuern und ihre Angriffstaktiken weiterentwickeln", kommentiert Threats Analyst Junestherry Dela Cruz von Trend Micro.

Neue DDoS-Angriffe nach zehn Tagen

Die Gruppe Noname stand nach der Operation "Eastwood" vermeintlich vor der Aufgabe, ihr aus mehreren Hundert weltweit verteilten Servern bestehendes Botnetz wieder aufzubauen. Diversen übereinstimmenden Medienberichten zufolge benötigten die Cyberkriminellen dafür nicht einmal zehn Tage.

Denn bereits in dieser Woche gab es Meldungen zu Überlastungsangriffen unter anderem auf das neue deutsche Digitalisierungsministerium und den deutschen Bundespräsidenten. Die zugehörigen Websites seien aber nach einem kurzen Unterbruch wieder am Netz gewesen. Auf ihrem Telegram-Kanal kündigte Noname weitere Angriffe an und nannte die Operation "Eastwood" wertlos.