Technik
Die von der Schadsoftware Betroffenen sollen benachrichtigt werden.
Die von der Schadsoftware Betroffenen sollen benachrichtigt werden.(Foto: dpa)
Montag, 04. Dezember 2017

Millionen Computer infiziert: Ermittler decken weltweites Botnetz auf

Die Schadsoftware "Andromeda" verbreitet sich jahrelang über ein Botnetz. Sie befällt Rechner auf der ganzen Welt, die Täter haben es aufs Online-Banking abgesehen. Ermittler aus Norddeutschland haben einen großen Anteil daran, dass das nun ein Ende hat.

Ermittler aus Niedersachsen haben erneut ein globales Botnetz zur Verbreitung von Schadsoftware lahmgelegt. Wie die Polizei in Lüneburg und die Staatsanwaltschaft Verden mitteilten, planten sie die Aktion gemeinsam mit der US-Bundespolizei FBI. Beteiligt waren auch die EU-Polizeibehörde Europol und Ermittler in 25 weiteren Ländern von Finnland bis Pakistan. Ein Botnetz besteht aus vielen mit Malware infizierten Computern. Angreifer können die Computer für von ihnen gesteuerte Aktionen missbrauchen - zum Beispiel können sie Webseiten durch die Masse an Datenverkehr zum Absturz zu bringen.

Über das Botnetz wurde den Angaben zufolge eine Schadsoftware verbreitet, die Computer ausspähte und Trojaner nachlud, um deren Besitzer bei Bankgeschäften per Internet zu schädigen. "Mittels dieser Schadsoftware gelang es den Tätern in den letzten Jahren mehrere Millionen PC-Systeme zu infizieren", erklärten die Ermittler. Hauptsächlich betroffen gewesen seien Nordamerika, Asien und Europa - dort unter anderem Deutschland.

Die Ermittlungen zu dem Botnetz führte ursprünglich seit 2015 das FBI mit dem Softwareunternehmen Microsoft. Nachdem die Experten der zentralen Kriminalinspektion Lüneburg im vorigen Jahr das gigantische Botnetz "Avalanche" zerschlagen hatten, baten die US-Behörden diese um Hilfe. Sowohl "Avalanche" als auch das jetzt lahmgelegte Netz verbreiteten dieselbe Schadsoftware.

Festnahme in Weißrussland

Gemeinsam analysierten die Experten die Struktur des Netzwerks und konnten die relevanten Knotenpunkte identifizieren. Nach Angaben der niedersächsischen Behörden führten Ermittlungen des FBI zu einem Verdächtigen in Weißrussland, der dort vor etwa einer Woche festgenommen wurde. Zudem schalteten die Ermittler sieben Steuerungsserver in sechs Ländern ab.

Darüber hinaus konnten die Ermittler die Kontrolle über 1500 Internet-Adressen (Domains) übernehmen, über die die Schadsoftware bösartige Software-Komponenten nachladen. Dadurch habe man Ende November an einem einzigen Tag 1,35 Millionen IT-Systeme identifiziert, die mit der "Andromeda"-Schadsoftware befallen waren. Die betroffenen PC-Besitzer werden nun benachrichtigt.

Verbreitung über E-Mail und Banner

Die Software wurde von den im Botnetz zusammengeschlossenen Rechnern demnach einerseits per E-Mails mit infizierten Links verbreitet, zum anderen auch über manipulierte Werbebanner oder Webseiten, auf den vor allem für zweifelhafte Inhalte wie Pornografie oder illegales Videostreaming geworben wird. Bei der Verbreitung per E-Mail starteten Anwender den Download eines infizierten Dokuments, wenn Anwender auf den Link in der E-Mail klicken.

Die Zerschlagung des gigantischen Botnetzes "Avalanche" hatten die Ermittler in Lüneburg und Verden vor fast genau einem Jahr bekanntgegeben. Nach vierjährigen Ermittlungen waren damals 39 Server mit hunderttausenden Domains abgeschaltet worden, die auf Computer in 180 Staaten zugriffen. Europol schätzte den Schaden auf mehrere hundert Millionen Euro. 16 Verdächtige wurden festgenommen.

Quelle: n-tv.de

Empfehlungen