Das US-amerikanische Justizministerium hat einen bedeutenden Erfolg im Kampf gegen internationale Cyberkriminalität erzielt. Im Rahmen der Operation PowerOff wurde das berüchtigte RapperBot-Botnet erfolgreich neutralisiert und dessen mutmaßlicher Betreiber angeklagt. Diese koordinierte Aktion markiert einen wichtigen Wendepunkt in der Bekämpfung großangelegter DDoS-Attacken, die über Jahre hinweg Schäden in Millionenhöhe verursachten.
Technische Architektur und Entwicklung von RapperBot
Die erste Identifizierung des RapperBot-Botnets erfolgte durch Sicherheitsexperten von Fortinet im August 2021, obwohl forensische Analysen zeigen, dass die Infrastruktur bereits seit Mai 2021 aktiv war. Das Schadprogramm basierte auf dem weit verbreiteten Mirai-Quellcode und entwickelte sich schnell zu einer der destruktivsten DDoS-Plattformen der vergangenen Jahre.
RapperBot, das zeitweise auch unter den Pseudonymen Eleven Eleven und CowBot operierte, zielte primär auf unzureichend gesicherte Internet-of-Things-Geräte ab. Digitale Videorekorder und Router bildeten die Hauptangriffsziele, da diese Geräte häufig mit Standardpasswörtern betrieben und selten mit Sicherheitsupdates versorgt werden. Diese Schwachstellen ermöglichten es den Cyberkriminellen, eine umfassende Botnet-Infrastruktur aufzubauen.
Schadensausmaß und globale Auswirkungen
Die technischen Spezifikationen von RapperBot verdeutlichen das außergewöhnliche Bedrohungspotenzial. Die DDoS-Angriffe erreichten Bandbreiten zwischen 2 und 6 Terabit pro Sekunde, was ausreichte, um selbst robuste Unternehmensnetze und staatliche Systeme lahmzulegen. Im Jahr 2023 erweiterten die Betreiber das Arsenal um Cryptocurrency-Mining-Module, wodurch zusätzliche illegale Einnahmequellen erschlossen wurden.
Nach Angaben der Ermittlungsbehörden führte RapperBot Attacken gegen über 18.000 Ziele in 80 Ländern weltweit durch. Zu den betroffenen Organisationen zählten US-Regierungseinrichtungen, internationale Medienplattformen, Gaming-Unternehmen und Technologiekonzerne. Amazon Web Services, das bei der Verfolgung der Command-and-Control-Infrastruktur unterstützte, dokumentierte allein seit April 2025 mehr als 370.000 Einzelangriffe unter Verwendung von über 45.000 kompromittierten Geräten aus 39 Ländern.
Wirtschaftliche Schadensbilanz
Die finanziellen Auswirkungen der RapperBot-Kampagne sind beträchtlich. Laut Schätzungen des US-Justizministeriums verursachte bereits eine 30-sekündige DDoS-Attacke mit über 2 Terabit pro Sekunde Kosten zwischen 500 und 10.000 US-Dollar für die betroffenen Organisationen. Spitzenattacken erreichten über eine Milliarde Pakete pro Sekunde und konnten kritische Infrastrukturen über längere Zeiträume außer Betrieb setzen.
Rechtliche Konsequenzen und Strafverfolgung
Die Anklage richtet sich gegen den 22-jährigen Ethan Foltz aus Oregon, der als Hauptverantwortlicher für die Entwicklung und den Betrieb von RapperBot identifiziert wurde. Die Ermittlungen ergaben, dass Foltz nicht nur die Malware programmierte, sondern das Botnet auch als Service an andere Cyberkriminelle vermietete. Diese „Botnet-as-a-Service“-Geschäftsmodell ermöglichte es auch weniger technisch versierten Akteuren, großangelegte Cyberattacken durchzuführen.
Foltz wird der Beihilfe zu Computerverbrechen beschuldigt und könnte bei einer Verurteilung eine Haftstrafe von bis zu 10 Jahren erhalten. Der Angeklagte befindet sich derzeit auf freiem Fuß und muss sich zu einem späteren Zeitpunkt vor Gericht verantworten.
Erpressungsstrategien und kriminelle Monetarisierung
Besonders besorgniserregend war die Nutzung von RapperBot für Erpressungsaktivitäten. Die Kriminellen wendeten eine bewährte Taktik an: Nach einer demonstrativen DDoS-Attacke, die die Verfügbarkeit der Zieldienste beeinträchtigte, forderten sie Lösegeldzahlungen für die Einstellung der Angriffe. Diese Kombination aus technischer Sabotage und finanzieller Erpressung verstärkte die wirtschaftlichen Schäden erheblich.
Die erfolgreiche Zerschlagung von RapperBot und die Anklageerhebung gegen seinen Betreiber stellen einen wichtigen Meilenstein in der internationalen Cybersecurity-Zusammenarbeit dar. Der Fall unterstreicht die Wirksamkeit koordinierter Aktionen zwischen Strafverfolgungsbehörden und privaten Sicherheitsunternehmen. Organisationen sollten diese Entwicklung zum Anlass nehmen, ihre IoT-Gerätesicherheit zu überprüfen, regelmäßige Firmware-Updates durchzuführen und starke Authentifizierungsmaßnahmen zu implementieren, um künftige Botnet-Infektionen zu verhindern.
