Das größte Botnet der Welt ist endlich verschwunden—und niemand weiß, wieso

Ist das das Ende der Ransomware Locky und anderer extrem schädlicher Malware? Es bleibt zu hoffen.

|
09 Juni 2016, 10:04am

Bild: shutterstock

Völlig unvermittelt hat sich kürzlich eines der größten kriminellen Botnets der Gegenwart in Luft aufgelöst. Das Ende des Netzes mit dem Namen Necurs ist eine gute Nachricht: Denn bei Botnets handelt es sich um riesige Netzwerke, mit denen Hacker die Rechenleistung zahlreicher verbundener einzelner Computer nutzen, um DDoS-Attacken oder andere Angriffe mit Schadsoftware zu starten. Oft werden auch Rechner Unbeteiligter als Teil dieser ferngesteuerten Botnets gekapert.

Nun berichten mehrere Sicherheitsexperten von einem drastischen Aktivitätseinbruch von zwei der aktuell berüchtigsten Schadsoftwares, die sich des Botnets bedienten, um so Schaden bei hunderttausenden Internet-Nutzern weltweit anzurichten.



„Wir können bestätigen, dass die Dridex- und Locky-Spam-Kampagnen unserer Beobachtung nach seit dem 1. Juni völlig aufgehört haben. Wir können aber nicht sicher sagen, wie und wieso das Botnet zusammengebrochen ist", erklärte der Sicherheitsexperte Joonho Sa von der Firma FireEye gegenüber Motherboard in einer E-Mail.

Mit der Malware Direx werden gewöhnlich Bankkonten geleert. Locky ist eine besonders weit verbreitete und lästige Form der Ransomware, die die Dateien seiner Opfer verschlüsselt, bis sie eine stattliche Summe in Bitcoin an den Erpresser zahlen. Zu Spitzenzeiten infizierte Locky 60.000 Rechner am Tag allein in Europa, unter anderem waren dabei auch Krankenhäuser betroffen. Die gezielte Verbreitung beider Malware-Items wurde in der Vergangenheit miteinander in Verbindung gebracht.

Ransomware in der Kardiologie: Deutsche Krankenhäuser müssen faxen, bis der Arzt kommt

Nachdem die Infrastruktur hinter Locky scheinbar offline gegangen ist, ist nicht ganz klar, was mit den Opfern von Locky geschieht. Möglicherweise können Infizierte nun nicht mehr so einfach das Lösegeld an die Kriminellen überweisen, um ihre Dateien wieder zu befreien.

Als Locky im Februar dieses Jahres erstmals auftauchte, beschrieb der Sicherheitsexperte Kevin Beaumont die Macht des Tools in nahezu ehrfürchtigen Worten: „Der Einsatz von Locky war ein kriminelles Meisterstück—die Infrastruktur ist hochentwickelt, es wurde am Montag in kleiner Stückzahl quasi in der Wildnis ausgesetzt und beta-getestet; anschließend ist die Ransomware dann auch noch in viele Sprachen übersetzt worden. Kurzum: das war alles gut geplant."

Im Oktober 2015 gingen das FBI, die britische National Crime Agency und andere Strafverfolgungsbehörden zwar gegen die Malware Dridex vor. Die Ermittler konnten ihre Verbreitung aber nicht stoppen.

Nachdem das Necurs-Botnet verschwunden war, schrieb Beaumont Motherboad in einer Twitter-Nachricht: „Wir beobachten seitdem einen dramatisch einbrechenden Traffic. Locky ist komplett verschwunden." Ein weiterer Hinweis auf ein Ende der Ransomware: Es seien keine neuen Command and Control-Server—die Hacker benutzen, um den Überblick über ihre Botnets zu wahren und sie zu steuern—aufgetaucht. Beaumont glaubt, dass Necurs das größte Botnet der Welt war.



Wieso das Botnet verschwunden ist, ist momentan noch unklar, doch es gibt mögliche Hinweise: Als am 1. Juni FireEye und Beaumont über den Rückgang an Traffic aus dem Malware-Netzwerk berichteten, meldete der russische Geheimdienst FBS laut Reuters am selben Tag die Festnahme von einer Bande von rund 50 Hackern. Diese Hackergruppe hatte über 1,7 Milliarden Rubel von russischen Banken und anderen Institutionen gestohlen, was 230.000 Euro entspricht. Um das Geld einzutreiben, verbreiteten sie einen Trojaner namens Lurk.

Group-IB, eine Cybersecurity-Firma, die mit Strafverfolgungsbehörden kooperiert, widerspricht der Vermutung eines Zusammenhangs zwischen dem Ende der Botnets und den Festnahmen: „Wir glauben nicht, dass die jüngsten Festnahmen in Russland und der Zusammenbruch des Botnets Necurs in Verbindung stehen. Die Lurk-Gruppe hat mit ihren betrügerischen Aktivitäten nur russische und ukrainische Banken angegriffen", erklärte Pressesprecher Nikolay Grunin gegenüber Motherboard per E-Mail.

Weshalb Necurs verschwunden ist, bleibt also vorerst ein Rätsel.