Schlag gegen Internetkriminelle Ermittler-Team schaltet gefährliches Botnetz ab
News folgenDeutsche Polizisten haben in Zusammenarbeit mit dem FBI ein gefährliches Botnetz lahmgelegt. Internetkriminelle hatten darüber mehr als eine Millionen Rechner mit einer Schadsoftware infiziert.
Ermittler aus Niedersachsen haben erneut ein globales Botnetz zur Verbreitung von Schadsoftware lahmgelegt. Wie die Polizei in Lüneburg und die Staatsanwaltschaft Verden am Montag mitteilten, planten sie die Aktion gemeinsam mit der US-Bundespolizei FBI. Beteiligt waren auch die EU-Polizeibehörde Europol und Ermittler in 25 weiteren Ländern von Finnland bis Pakistan.
Über das Botnetz wurde den Angaben zufolge eine Schadsoftware verbreitet, die Computer ausspähte und Trojaner nachlud, um deren Besitzer bei Bankgeschäften per Internet zu schädigen. "Mittels dieser Schadsoftware gelang es den Tätern in den letzten Jahren mehrere Millionen PC-Systeme zu infizieren", erklärten die Ermittler. Hauptsächlich betroffen gewesen seien Nordamerika, Asien und Europa - dort unter anderem Deutschland.
So kamen die Ermittler den Tätern auf die Spur
Die Ermittlungen zu dem Botnetz führte ursprünglich seit 2015 das FBI mit dem Softwareunternehmen Microsoft. Nachdem die Experten der zentralen Kriminalinspektion Lüneburg im vorigen Jahr das gigantische Botnetz "Avalanche" zerschlagen hatten, baten die US-Behörden diese um Hilfe. Sowohl "Avalanche" als auch das jetzt lahmgelegte Netz verbreiteten dieselbe Schadsoftware.
Gemeinsam analysierten die Experten die Struktur des Netzwerks und konnten die relevanten Knotenpunkte identifizieren. Nach Angaben der niedersächsischen Behörden führten Ermittlungen des FBI zu einem Verdächtigen in Weißrussland, der dort vor etwa einer Woche festgenommen wurde. Zudem schalteten die Ermittler sieben Steuerungsserver in sechs Ländern ab.
Gleichzeitig konnten die Ermittler die Kontrolle über 1500 Internet-Adressen (Domains) übernehmen, über die die Schadsoftware bösartige Software-Komponenten nachladen. Dadurch habe man Ende November an einem einzigen Tag 1,35 Millionen IT-Systeme identifiziert, die mit der "Andromeda"-Schadsoftware befallen waren. Die betroffenen PC-Besitzer werden nun von ihrem Provider benachrichtigt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät den Betroffenen, die Warnung ernst zu nehmen und ihre Geräte zu prüfen.
Wie sich die Rechner infizierten
Die Software wurde von dem im Botnetz zusammengeschlossenen Rechnern einerseits per E-Mails mit infizierten Links verbreitet. Wenn Anwender auf den Link klicken, starten sie den Download eines infizierten Dokuments. Die Nutzer können ihren Rechner aber auch über sogenannte Drive-by-Exploits infizieren. Dabei setzen die Angreifer vor allem manipulierte Werbebanner oder Websites ein, auf den vor allem für zweifelhafte Inhalte wie Pornografie oder illegales Videostreaming geworben wird.
Die Zerschlagung des gigantischen Botnetzes "Avalanche" hatten die Ermittler in Lüneburg und Verden vor fast genau einem Jahr bekanntgegeben. Nach vierjährigen Ermittlungen waren damals 39 Server mit hunderttausenden Domains abgeschaltet worden, die auf Computer in 180 Staaten zugriffen. Europol schätzte den Schaden auf mehrere hundert Millionen Euro. 16 Verdächtige wurden festgenommen.
BSI appelliert an Nutzer, ihre PCs zu bereinigen
Ein Jahr nach Zerschlagung des Avalanche-Botnetzes betrage etwa die Zahl der Infektionsmeldungen hierzulande immer noch ein gutes Drittel (39 Prozent) des Ursprungswertes. Das liege daran, dass Betroffene ihre Systeme trotz Benachrichtigung noch nicht bereinigt hätten.
Zwar könnten ihre Rechner sowohl bei Andromeda- als auch bei Avalanche-Infektionen durch BSI-Schutzmaßnahmen keinen Schaden mehr anrichten. Sie seien aber weiter infiziert, anfällig für Missbrauch und könnten weitere Systeme gefährden. Wer eine Infektionsmeldung erhält, sollte sofort alle am betroffenen Internetanschluss genutzten Computer und Mobilgeräte auf den Befall mit Schadsoftware hin prüfen. Anleitungen finden sich auf Botfrei.de oder BSI-fuer-Buerger.de.
Über Botnetze werden sensible Informationen und Daten wie Online-Banking-Zugänge oder Passwörter gestohlen. Die Infrastrukturen dienen aber auch der Verteilung von Schadsoftware wie Banking- oder Erpressungs-Trojaner (Ransomware), dem Versenden von Spam- und Phishing-Mails oder dem Ausführen sogenannter verteilter Angriffe.
