Erstellt am: 26. 2. 2015 - 14:24 Uhr
Drei Millionen Zombies besiegt
Das zu Europol gehörende European Cybercrime Centre (EC3) hat eines der bisher größten Botnets zerschlagen. Der Begriff Botnet setzt sich aus den Wörtern „Robot“ und „Network“ zusammen. Ein Botnet ist also ein Netzwerk aus virusinfizierten, ferngesteuerten Computern (Bots oder Zombies) - im aktuellen Fall waren es zuletzt 3,2 Millionen.
Grundlage des Netzwerks war ein Computervirus namens W32.Ramnit. Dieses tauchte erstmals bereits im Jahr 2010 auf - getarnt als Datei in den Formaten EXE, DLL, HTM oder HTML. Die Übertragung folgte auf drei Arten: Ein User öffnet einen infizierten E-Mail-Dateianhang, besucht eine kompromittierte Website oder steckt einen befallenen USB-Stick an. Der dann infizierte Computer verbindet sich zunächst mit einem Command-and-Control-Server (C&C). Der Cyberkriminelle („Botmaster“) verschlüsselt die Kommunikation zwischen C&C und befallenen Rechnern, um sich selbst zu schützen. Dann wird der befallene Rechner im Verbund mit den anderen betrieben.
Europol
Hoher Nutzen für den Angreifer
Besonders gefährlich war das nun zerschlagene Botnet unter anderem, weil die Schadsoftware Ramnit modular aufgebaut ist und für verschiedenste Zwecke eingesetzt werden kann – fast immer aber zum finanziellen Vorteil des Angreifers.
Einige der wichtigsten Module der Ramnit-Schadsoftware: Ein Spionagemodul, das den Webbrowser manipulieren kann - sobald ein User eine Onlinebanking-Website aufruft, täuscht es ihm diese vor und stiehlt Daten oder Geld. Ein Cookie Grabber, der Daten eines Users aus dem Webbrowser kopiert, um sich später als dieser User auszugeben. Ein Festplattenscanner, der nach vertraulichen Daten wie Passwörtern und Kreditkartendaten sucht. Ein FTP-Server, der den beeinträchtigten Computer in eine Fernzugriffs-Datenbank für den Angreifer verwandelt. Ein VNC-Modul, das eine weitere Möglichkeit des Fernzugriffs auf den Computer ermöglicht.
Ein Botnet von der Größe wie zuletzt Ramnit verfügt zudem über hohe Rechenleistung. Mit Millionen von Zombies kann der Botmaster zum Beispiel Distributed-Denial-of-Service-Attacken (DDoS) durchführen – eine „Dienstleistung“, die sich Cyberkriminelle teuer bezahlen lassen. Das Netzwerk wird auch verwendet, um Millionen falscher Klicks auf Anzeigen durchzuführen, um Spam zu versenden und um die Passwörter fremder Websites auszurechnen bzw. zu erraten (Brute-Force-Attacke).
Digitale Erpressung
Relativ neu ist das Phänomen der Ransomware: Sämtliche Daten auf dem Computer eines Users werden verschlüsselt. Dann erhält das Opfer eine Nachricht mit der Aufforderung, einen Betrag an eine bestimmte Bitcoin-Addresse zu schicken. Gibt man der Erpressung nicht nach, bleiben die Daten verschlüsselt und sind für immer verloren.
Die Zerschlagung des Ramnit-Botnets erfolgte nach einem Hinweis von Microsoft an Europol. Dem Konzern war aufgefallen, dass die Zahl der mit Ramnit infizierten Geräte stark angestiegen war. Im Rahmen der Operation durch das European Cybercrime Centre wurden die C&C-Server ausgeforscht und deaktiviert sowie mehr als 300 von den Ramnit-Betreibern benutzte Internet-Domains umgeleitet. Damit ist das Ramnit-Botnet zwar vorerst Geschichte, die Schadsoftware selbst bleibt aber natürlich auf den infizierten Geräten, solange sie die User von dort nicht entfernen - und sie wird auch weiterhin im Netz verbreitet.
Verschiedenste Geräte betroffen
Von Cyberkriminellen werden mittlerweile nicht nur Windows-PCs zu Bots gemacht, sondern auch Macs und Linux-PCs. Betroffen sind außerdem auch Smartphones, Tablets und Haushaltsgeräte wie Smart-TVs und Internetradios. Jedes Gerät, das einen Chip hat und rechnen kann, ist für die Betreiber von Botnets potenziell nützlich.
Die Symptome, die ein beeinträchtigtes Gerät zeigt, sind vielfältig. Die Geschwindigkeit des Computers oder der Internetverbindung verlangsamt sich, das Datenvolumen wird höher. Man sieht mehr Werbe-Popups als üblich, der Computer wird instabil. Das Antivirus-Programm lässt sich nicht mehr aktivieren, zusätzliche Anwendungen oder Prozesse scheinen auf, im Einstellungsmenü lassen sich Settings nicht wie gewohnt verändern. Bei Smartphones wird die Batterie wärmer als zuvor und ist schneller leer, weil das Gerät ständig rechnet und verbunden ist. Allerdings verhalten sich viele Schadprogramme heute unauffälliger und verstecken sich geschickter als früher. Zudem machen es manche Geräte wie Router oder Smart-TVs nicht einfach, Schadsoftware zu entdecken.
Europol erklärt mittels einer sehr übersichtlichen Infografik hier das Phänomen Botnets.
Tipps
Es gelten daher die üblichen Sicherheitsempfehlungen: 1) Dateianhänge von unbekannten Absendern nicht ohne Nachfrage öffnen. 2) Das Betriebssystem auf dem neuesten Stand halten, einen aktuellen Webbrowser und aktuelle Antivirus-Software benützen. 3) USB-Sticks nur akzeptieren, wenn sie der Besitzer vor der Übergabe gescannt hat - und sie auch selbst nocheinmal überprüfen. 4) Sich verdächtig verhaltende Computer mit einem Linux von einem sicheren Datenträger booten und scannen. 5) Bei Geräten wie Routern und Druckern die vom Hersteller festgelegten Standard-Usernamen und -passwörter („admin“, „12345“) ändern.