US-Behörden zerschlagen IoT-Botnetze hinter massiven DDoS-Angriffen

Internationale Razzia gegen IoT-Botnetze

Das US-Justizministerium hat gemeinsam mit Behörden aus Kanada und Deutschland die Infrastruktur von vier großen IoT-Botnetzen zerstört. Diese Netzwerke, die über drei Millionen Geräte wie Router und Webcams infiltriert hatten, wurden für massiv zerstörerische DDoS-Angriffe genutzt. Die Botnetze mit den Namen Aisuru, Kimwolf, JackSkid und Mossad konnten selbst große Ziele wie Behördennetzwerke lahmlegen.

Operation gegen DDoS-Infrastruktur

Die US-Behörden beschlagnahmten zahlreiche in den USA registrierte Domains, virtuelle Server und andere Infrastrukturkomponenten, die für die DDoS-Angriffe gegen das US-Verteidigungsministerium genutzt wurden. Laut Ermittlern nutzten die Täter die Botnetze für Hunderttausende Angriffe und erpressten dabei Lösegeld von Opfern. Einige Unternehmen berichteten von Schäden in Höhe von mehreren zehntausend Dollar.

Ausmaß der Angriffe

• Aisuru: Über 200.000 Angriffsbefehle
• JackSkid: Mindestens 90.000 Angriffe
• Kimwolf: Mehr als 25.000 Befehle
• Mossad: Rund 1.000 digitale Angriffe

Ziel der Aktion: Weitere Schäden verhindern

Die Operation sollte verhindern, dass weitere Geräte infiziert werden und die Fähigkeit der Botnetze, zukünftige Angriffe zu starten, einschränken oder vollständig eliminieren. Die Ermittlungen wurden vom Defense Criminal Investigative Service (DCIS) geleitet, unterstützt vom FBI und fast zwei Dutzend Technologieunternehmen.

„Durch die enge Zusammenarbeit mit dem DCIS und internationalen Partnern konnten wir die kriminelle Infrastruktur identifizieren und zerschlagen, die für großangelegte DDoS-Angriffe genutzt wurde.“
Rebecca Day, Sonderagentin des FBI Anchorage Field Office

Entwicklung der Botnetze

Aisuru entstand Ende 2024 und entwickelte sich bis Mitte 2025 zu einem der leistungsfähigsten DDoS-Botnetze. Im Oktober 2025 nutzte Aisuru Kimwolf, eine Variante mit einem neuen Verbreitungsmechanismus, der auch Geräte hinter internen Netzwerk-Firewalls infizieren konnte. Eine Sicherheitslücke in Kimwolf wurde im Januar 2026 öffentlich gemacht, was die Ausbreitung verlangsamte. Dennoch entstanden seitdem weitere Botnetze, die Kimwolfs Methoden kopierten. Auch JackSkid zielte auf interne Netzwerke ab.

Internationale Festnahmen

Parallel zur US-Operation führten kanadische und deutsche Behörden „rechtliche Maßnahmen“ gegen mutmaßliche Betreiber der Botnetze durch. Während Details zu den Verdächtigen noch nicht veröffentlicht wurden, identifizierte die Sicherheitsfirma KrebsOnSecurity im Februar einen 22-jährigen Kanadier als Hauptakteur hinter Kimwolf. Weitere Ermittlungen deuten auf einen 15-jährigen Deutschen als zweiten Hauptverdächtigen hin.