Für die Beschlagnahmung der Domain und des Infrastruktur-Servers der Malware "NetWire RAT" kooperierte das FBI mit mehreren Polizeibehörden.
Dem FBI gelang es zusammen mit weiteren internationalen Polizeibehörden die Infrastruktur der Malware “NetWire RAT” zu zerschlagen und den mutmaßlichen Administrator des Dienstes festzunehmen. Damit dürfte dem vorrangig für kriminelle Zwecke eingesetzten “Fernwartungstool” vorerst ein Ende gesetzt sein.
Ein einfaches “Fernwartungstool” mutierte zur Malware
Im Rahmen einer internationalen Strafverfolgungsoperation des FBI in Zusammenarbeit mit mehreren Polizeibehörden auf der ganzen Welt konnten Ermittlungsbeamte mitunter den mutmaßlichen Administrator des Remote-Access-Trojaners (RAT) NetWire festnehmen. Auch die zugehörige Domain und den Infrastruktur-Server nahmen die Strafverfolger dabei in ihren Besitz.
Der Betreiber verkaufte das NetWire-Tool über die Webseite www.worldwiredlabs.com im Abo für 10 US-Dollar pro Monat – Support inklusive. Wie BleepingComputer berichtet, galt die Software als “legitimes Fernwartungstool zur Fernsteuerung von Windows-Computern”.
Seit 2014 hat sich der NetWire RAT jedoch vermehrt als beliebtes Werkzeug für bösartige Aktivitäten etabliert und diente fortan als Malware, mit der Hacker via Phishing und BEC-Kampagnen in Unternehmensnetzwerke eindringen konnten. Das Tool erlaubte es ihnen anschließend aus der Ferne beliebige Dateien in beide Richtungen zu transferieren, Befehle auszuführen sowie Screenshots zu erstellen.
FBI beschlagnahmt Domain und Server des NetWire RAT und verhaftet Admin
Doch damit ist jetzt Schluss. Denn wie die US-Staatsanwaltschaft des Central District of California gestern bekannt gab, konnte das FBI die NetWire-Malware am vergangenen Dienstag durch eine internationale Strafverfolgungsaktion entschärfen. Auch Europol sowie weitere Polizeibehörden aus Kroatien, der Schweiz und Australien waren daran beteiligt.
Die FBI-Beamten beschlagnahmten bei dieser Operation nicht nur die Domain, unter der NetWire RAT verkauft wurde. Auch ein Server, der die Infrastruktur der Software bereitstellte, geriet dabei in die Hände der Ermittler. Wer die Seite des Dienstes nun besucht, findet eine entsprechende Meldung vor.
Als Administrator der Verkaufsseite verdächtigen die Behörden einen kroatischen Staatsbürger. Ihn konnten die örtlichen Strafverfolger ebenfalls am Dienstag dingfest machen. Er darf sich folglich schon bald vor einem Richter für sein „Produkt“ verantworten.