Das DanaBot-Botnet ist seit 2018 eine berüchtigte Bedrohung in der Cyberwelt. Ursprünglich als Banking-Trojaner konzipiert, der sensible Daten von infizierten Systemen stiehlt, hat sich DanaBot mittlerweile zu einer vielseitigen Malware-Plattform weiterentwickelt. Sie dient als Distributions- und Ladeplattform für andere Schadprogramme, inklusive Ransomware. In seinem aktiven Lebenszyklus hat DanaBot mehr als 300.000 Geräte weltweit infiziert und durch betrügerische Aktivitäten sowie Ransomware-Angriffe Schäden von über 50 Millionen US-Dollar verursacht.
Die jüngste Störung des Botnets erfolgte im Rahmen von Operation Endgame, einer von internationalen Strafverfolgungsbehörden geführten Initiative, die sich auf die Zerschlagung gefährlicher Malware-Familien wie Lumma Stealer, Smokeloader, TrickBot und Bumblebee spezialisiert hat. Bei der aktuellen Phase wurden rund 300 Server und 650 Domains abgeschaltet, die zur Steuerung des Botnets dienten. Darüber hinaus wurden internationale Haftbefehle gegen 20 Personen erlassen, von denen 16 bereits offiziell angeklagt wurden. Zu den Hauptangeklagten gehören Aleksandr Stepanov und Artem Aleksandrovich Kalinkin aus Novosibirsk, Russland. Während Stepanov für seine Rolle im Netzwerk eine Haftstrafe von bis zu fünf Jahren erwartet, droht Kalinkin, einem IT-Ingenieur beim russischen Energiekonzern Gazprom, eine lange Haft von bis zu 72 Jahren im Falle einer Verurteilung in den USA.
Diese Verbindung unterstreicht die mögliche Duldung oder sogar Unterstützung durch staatliche Akteure, zumindest in Teilen des Botnetzes, was die Komplexität und politische Dimension des Falls verdeutlicht. Die Identifizierung vieler Krimineller gelang den Ermittlern auch deshalb, weil einige von ihnen versehentlich ihre eigenen Systeme mit DanaBot infizierten. Dies zeigt, wie nachlässig und gleichzeitig selbstzerstörerisch einige Cyberkriminelle agieren. Das Botnet war in verschiedenen Phasen aktiv, wobei es Anfangs in osteuropäischen Ländern wie der Ukraine, Polen, Österreich, Italien und Deutschland wütete, um dann rasch Nordamerika zu erreichen. Dank der Kooperation internationaler Sicherheitsfirmen konnte die Struktur des Botnets tiefgehend analysiert werden.
Unternehmen wie Proofpoint, CrowdStrike und Lumen Technologies spielten eine entscheidende Rolle bei der Erfassung und Analyse der Schadsoftware-Aktivitäten. Besonders Lumen Technologies mit seinem Black Lotus Labs stellte heraus, dass DanaBot durchschnittlich 150 aktive Kommando-und-Kontroll-Server täglich betrieb und somit eine der größten Malware-as-a-Service-Plattformen darstellte. Auch die Verbreitungsmechanismen von DanaBot haben sich im Verlauf der Jahre deutlich gewandelt. Während die Malware zunächst überwiegend per bösartigen Emails verbreitet wurde, verschwand sie im Jahre 2020 fast vollständig aus diesen Kanälen. Dennoch kehrte DanaBot 2024 wieder zurück, wobei neue Distributionswege wie Malvertising und SEO-Poisoning übernommen wurden, um Infektionen weiter zu ermöglichen.
Eine weitere besorgniserregende Erkenntnis ist die doppelte Nutzung der Infrastruktur von DanaBot. So wurden einige Sub-Botnets von kriminellen Akteuren für rein finanzielle Zwecke eingesetzt, während andere zur Unterstützung von militärischen Operationen Russlands, insbesondere gegen die Ukraine, verwendet wurden. Der Fokus auf Spionage erstreckte sich zudem auf sensible Zielgruppen in Nordamerika und Europa, darunter Diplomaten, Strafverfolgungsbehörden und Militärangehörige. Die Zerschlagung eines so großen und komplexen Botnets stellt einen bedeutenden Erfolg im Kampf gegen Cyberkriminalität dar. Sie zeigt, dass durch internationale Zusammenarbeit und modernste Technologien auch die ausgeklügeltsten Netzwerke gestört und deren Betreiber vor Gericht gebracht werden können.
Gleichzeitig bleibt offen, ob DanaBot langfristig komplett vom Netz genommen wird oder sich nur erneut an die veränderten Rahmenbedingungen anpasst. Der Fall DanaBot verdeutlicht auch die wachsende Bedrohung durch Malware-as-a-Service-Modelle, bei denen kriminelle Entwickler ihre Tools gegen Bezahlung oder Gewinnbeteiligung an Dritte weitergeben. Dadurch vervielfachen sich die Angriffsflächen und erschweren die Strafverfolgung. Die Einbindung staatlicher Akteure oder die Toleranz seitens bestimmter Regierungen gegen diese Gruppen verkompliziert die Lage zusätzlich. Für die zukünftige Sicherheit ist daher nicht nur die Entwicklung technischer Abwehrmechanismen entscheidend, sondern vor allem die stetige und enge Zusammenarbeit von privaten Sicherheitsunternehmen, internationalen Polizeibehörden und staatlichen Stellen.
