Deutsche Polizisten haben in Kooperation mit dem FBI und internationalen Ermittlern das gefährliche Andromeda-Botnetz stillgelegt.
Am vergangenen Mittwoch letzter Woche (29.11.2017) ist es Ermittlern aus neun Ländern gelungen, das global agierende Andromeda-Botnetz zu stoppen. Die Koordinierung der Maßnahmen erfolgte über eine zentrale Befehlsstelle bei Europol. In die Umsetzung aller genannten Maßnahmen waren insgesamt 27 Staaten eingebunden. Maßgeblich an der Aktion beteiligt waren Ermittler der Zentralen Kriminalinspektion Lüneburg unter Sachleitung der Staatsanwaltschaft Verden (Aller) sowie die US-Bundespolizei FBI, heißt es in einer Pressemitteilung.
Andromeda Botnetz vorerst abgeschaltet
Verteilt wurde die Schadsoftware mittels in E-Mails enthaltener Links. Durch das Anklicken des Links haben sich die Opfer ein infiziertes Microsoft Office-Dokument auf ihren Computer geladen. Außerdem konnte die Infizierung über Drive-by-Exploits erfolgen, die sich auf kompromittierten Werbebannern oder Websites, hauptsächlich solche mit zweifelhaftem Inhalt (Pornographie, illegale Verkäufe, Verstoß gegen Urheberrechte durch Videostreaming usw.), befinden.
Einmal infiziert, späht der Schädling das Opfer-System aus und ist in der Lage, einen Banking-Trojaner nachzuladen, der auf die ausgespähten Daten der Opfer abgestimmt ist. Mittels dieser Schadsoftware gelang es den Tätern in den letzten Jahren, mehrere Millionen PC-Systeme zu infizieren. Hauptangriffsziele der Schadsoftware waren Nordamerika, Asien und in Europa im Schwerpunkt die Länder Rumänien, Italien, Deutschland und Polen.
Microsoft beteiligte sich an den Ermittlungen
Die Ermittlungen gegen das Botnetz wurden vor rund zwei Jahren gemeinsam mit Microsoft gestartet. Bereits durch das Ausschalten der internationalen Botnetzinfrastruktur „Avalanche“ im vergangenen Jahr konnten neue Erkenntnisse gewonnen werden, die auch in diese Ermittlungsarbeiten mit eingeflossen sind. Die Polizeibeamten der ZKI Lüneburg unterstützten die US-amerikanischen Kollegen bei der Planung und Abschaltung des weiteren Botnetzes. Es wurde nicht nur das Botnetz selbst abgeschalten, sondern auch erste Festnahmen vollzogen. Die Aktion verlief unter dem Codenamen „Takedown 2“.
Über 1,3 Millionen gekaperte Computer haben die Behörden befreit. Ein Tatverdächtiger wurde in Weißrussland festgenommen. Bei der Durchsuchung seiner Wohnung beschlagnahmten die Ermittler belastendes Material. Zudem konnten Ermittler sieben Steuerserver in sechs verschiedenen Ländern beschlagnahmen und abschalten. Darüber hinaus belegten die Ermittler über 1.500 Domains der Schadsoftware Andromeda mit einer sogenannten Sinkholing-Maßnahme. Allein dadurch hat man am vergangenen Mittwoch weltweit 1,35 Millionen IT-Systeme identifiziert, die die Andromeda Schadsoftware befallen hat.
Die Internetprovider informieren ihre Kunden, wenn deren Systeme infiziert sind. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) macht darauf aufmerksam, dass Nutzer auch nach der Zerschlagung des Andromeda-Botnetzes eine Infektionsmeldung von ihrem Internet-Provider ernst nehmen sollten und ihre Geräte prüfen. Auf seiner Internetseite informiert das BSI über Botnetze und gibt Betroffenen Tipps, wie sie ihre Computer sicher einrichten.
Auch ein Jahr nach Zerschlagung des Avalanche-Botnetzes beträgt die Zahl der Infektionsmeldungen in Deutschland immer noch ein gutes Drittel (39 Prozent) des Ursprungswertes. Das liege daran, dass Betroffene ihre Systeme trotz Benachrichtigung noch nicht bereinigt hätten. Zwar könnten betroffene Rechner sowohl bei Andromeda- als auch bei Avalanche-Infektionen durch BSI-Schutzmaßnahmen keinen Schaden mehr anrichten, wären aber weiter infiziert und somit anfällig für Missbrauch.
Bildquelle: geralt, thx! (CC0 Public Domain)
Tarnkappe.info
