Riesiges Botnetz eliminiert

Schwerer Schlag gegen Internet-Kriminelle: Ermittler legen "Necurs" lahm

Uhr
von dsc, Watson

Über das berüchtigte Botnet Necurs wurden seit acht Jahren massenhaft betrügerische E-Mails verschickt, darunter E-Banking- und Lösegeld-Trojaner. Nun legten Ermittler und Microsoft nach 8 Jahren Planung das kriminelle Netz lahm.

(Source: PashaIgnatov / iStock)
(Source: PashaIgnatov / iStock)

Ziemlich sicher haben Sie schon ungewollte Spam-Mails bekommen, die vom Necurs-Botnet stammten: Dabei handelte es sich vermutlich um das grösste kriminelle Online-Netzwerk. Es wurde missbräuchlich genutzt, um betrügerische Nachrichten zu versenden an Adressaten in der ganzen Welt.

Damit nicht genug, war Necurs laut Einschätzung der Experten auch berüchtigt dafür, dass gezielt Malware und Lösegeld-Trojaner verteilt und Kryptomining betrieben wurde.

Damit soll nun Schluss sein. Zumindest vorläufig. Die technische Infrastruktur der mutmasslich russischen Kriminellen ist beschlagnahmt worden, wie Microsoft am Dienstag in seinem Sicherheits-Blog informierte. Gemeinsam mit Partnern aus 35 Ländern sei es gelungen, eines der aktivsten Bot-Netzwerke der Welt zu zerstören. Dem Schlag waren acht Jahre Ermittlung und Planung vorausgegangen, heisst es weiter.

Laut Erkenntnissen der Ermittler umfasste das Botnet über neun Millionen Windows-PCs rund um den Globus. Weil die Computer schlecht oder gar nicht abgesichert waren, wurden sie mit Malware infiziert und in der Folge missbräuchlich verwendet, um E-Mails mit kriminellem Inhalt zu verschicken.

Während eines Zeitraums von nur 58 Tagen hat ein von den Ermittlern beobachteter infizierter Computer insgesamt 3,8 Millionen Spam-E-Mails an über 40,6 Millionen potenzielle Opfer versendet. Das zeigt, wie gross der Schaden allein durch dieses eine Netzwerk war.

quelle: microsoft.com / via winfuture.de

Wer steckt dahinter?

Es wird laut Microsoft vermutet, dass Necurs von Kriminellen mit Sitz in Russland betrieben wurde. Neben pharmazeutischen Spam-E-Mails (Stichwort gefälschtes Billig-Viagra) wurden über das Necurs-Botnet auch Angriffe auf liebeshungrige Männer geführt, das sogenannte "Russian Dating". Dabei wurde den ahnungslosen Internet-Nutzern die Bekanntschaft von attraktiven Russinnen vorgegaukelt, um sie abzuzocken.

Um das kriminelle Netzwerk lahmzulegen, beziehungsweise zumindest zu unterbrechen, arbeitete Microsoft laut eigenen Angaben mit Internet-Providern, Domain-Registrierungsstellen, staatlichen CERTs (IT-Sicherheits-Stellen) und Strafverfolgungsbehörden in Frankreich, Indien, Japan, Kolumbien, Mexiko, Polen, Rumänien, Spanien und Taiwan zusammen.

Wie konnte das Botnet lahmgelegt werden?

Durch technische und juristische Massnahmen.

Letzte Woche erliess das US-Bezirksgericht für den östlichen Bezirk von New York eine Anordnung, die es Microsoft ermöglichte, die Kontrolle über die Infrastruktur zu übernehmen, wie winfuture.de schreibt. Microsoft konnte zudem ein raffiniertes System der Kriminellen aufdecken, mit dem sie neue Internet-Adressen automatisiert registrieren wollten. Die entsprechenden Domains seien den Registrierungsstellen gemeldet worden, so dass die Websites blockiert und daran gehindert werden konnten, Teil von Necurs zu werden.

Was kann ich tun?

Ihren PC auf Malware-Befall prüfen!

Mit dem Safety Scanner von Microsoft kann man checken, ob der eigene Computer frei von Schädlingen ist. Das Gratis-Tool gibt es für (ältere) 32-Bit- und 64-Bit-Rechner und kann hier über die Microsoft-Website heruntergeladen werden.

Wars das?

Ziemlich sicher nicht.

Die Kriminellen werden neue Wege finden, um ihre betrügerischen E-Mails an den Mann und die Frau zu bringen. Und sie lassen sich dafür auch von Dritten bezahlen ...

Zudem sollen die Hintermänner den Zugang zu den infizierten Computern als Teil eines Botnet-for-hire-Dienstes an andere Cyberkriminelle verkauft oder vermietet haben.

quelle: microsoft.com / via winfuture.de

Dieser Artikel erschien zuerst am 11. März 2020 auf watson.ch.

Wer mehr zum Thema Cybercrime und IT-Sicherheit lesen will, kann dies im IT-Security-Blog von IT-Markt auf www.it-markt.ch/Security tun. Der Blog wird laufend aktualisiert.

Zum Nachschlagen:

Das IT-Security-Glossar verschafft einen schnellen Überblick über die gängigsten Begriffe rund um Cybercrime und IT-Security - ohne Anspruch auf Vollständigkeit.

Das Who’s who der Malware gibt einen schnellen Überblick darüber, was hinter den Namen der einzelnen Schadprogrammen steckt. Mehr auf www.it-markt.ch/MalwareABC.

Webcode
DPF8_173501

Kommentare

« Mehr