Ermittlern gelingt Schlag gegen Andromeda-Botnetz

Article by · 6. Dezember 2017 ·

Am vergangenen Mittwoch letzter Woche (29.11.2017) ist es Ermittlern aus neun Ländern gelungen, das global agierende Andromeda-Botnetz zu stoppen. Die Koordinierung der Maßnahmen erfolgte über eine zentrale Befehlsstelle bei Europol. In die Umsetzung aller genannten Maßnahmen waren insgesamt 27 Staaten eingebunden. Maßgeblich an der Aktion beteiligt waren Ermittler der Zentralen Kriminalinspektion Lüneburg unter Sachleitung der Staatsanwaltschaft Verden (Aller) sowie die US-Bundespolizei FBI, heißt es in einer Pressemitteilung.

Verteilt wurde die Schadsoftware mittels in E-Mails enthaltener Links. Durch das Anklicken des Links haben sich die Opfer ein infiziertes Microsoft Office-Dokument auf ihren Computer geladen. Außerdem konnte die Infizierung über Drive-by-Exploits erfolgen, die sich auf kompromittierten Werbebannern oder Websites, hauptsächlich solche mit zweifelhaftem Inhalt (Pornographie, illegale Verkäufe, Verstoß gegen Urheberrechte durch Videostreaming usw.), befinden. Einmal infiziert, späht der Schädling das Opfer-System aus und ist in der Lage, einen Banking-Trojaner nachzuladen, der auf die ausgespähten Daten der Opfer abgestimmt ist. Mittels dieser Schadsoftware gelang es den Tätern in den letzten Jahren, mehrere Millionen PC-Systeme zu infizieren. Hauptangriffsziele der Schadsoftware waren Nordamerika, Asien und in Europa im Schwerpunkt die Länder Rumänien, Italien, Deutschland und Polen.

Die Ermittlungen gegen das Botnetz wurden vor rund zwei Jahren gemeinsam mit Microsoft gestartet. Bereits durch das Ausschalten der internationalen Botnetzinfrastruktur “Avalanche” im vergangenen Jahr konnten neue Erkenntnisse gewonnen werden, die auch in diese Ermittlungsarbeiten mit eingeflossen sind. Die Polizeibeamten der ZKI Lüneburg unterstützten die US-amerikanischen Kollegen bei der Planung und Abschaltung des weiteren Botnetzes. Es wurde nicht nur das Botnetz selbst abgeschalten, sondern auch erste Festnahmen vollzogen. Die Aktion verlief unter dem Codenamen “Takedown 2”. Über 1,3 Millionen gekaperte Computer wurden befreit. Ein Tatverdächtiger wurde in Weißrussland festgenommen. Bei der Durchsuchung seiner Wohnung beschlagnahmten die Ermittler belastendes Material. Zudem konnten sieben Steuerserver in sechs verschiedenen Ländern beschlagnahmt und abgeschaltet werden. Darüber hinaus belegten die Ermittler über 1.500 Domains der Schadsoftware Andromeda mit einer sogenannten Sinkholing-Maßnahme. Allein dadurch wurden am vergangenen Mittwoch weltweit 1,35 Millionen IT-Systeme identifiziert, die mit der Andromeda Schadsoftware befallen waren.

Die Internetprovider informieren ihre Kunden, wenn deren Systeme infiziert sind. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) macht darauf aufmerksam, dass Nutzer auch nach der Zerschlagung des Andromeda-Botnetzes eine Infektionsmeldung von ihrem Internet-Provider ernst nehmen sollten und ihre Geräte prüfen. Auf seiner Internetseite informiert das BSI über Botnetze und gibt Betroffenen Tipps, wie sie ihre Computer sicher einrichten.

Auch ein Jahr nach Zerschlagung des Avalanche-Botnetzes beträgt die Zahl der Infektionsmeldungen in Deutschland immer noch ein gutes Drittel (39 Prozent) des Ursprungswertes. Das liege daran, dass Betroffene ihre Systeme trotz Benachrichtigung noch nicht bereinigt hätten. Zwar könnten betroffene Rechner sowohl bei Andromeda- als auch bei Avalanche-Infektionen durch BSI-Schutzmaßnahmen keinen Schaden mehr anrichten, wären aber weiter infiziert und somit anfällig für Missbrauch.

Bildquelle: geralt, thx! (CC0 Public Domain)

Mehr zu diesem Thema:

Flattr this!


    Leave a comment