IT-Sicherheitsexperten von Microsoft haben dem Necurs-Botnet jahrelang nachgespürt. Über die Hintermänner ist wenig bekannt. Sie sollen sich in Russland aufhalten.
bild: microsoft
Schwerer Schlag gegen Internet-Kriminelle: Ermittler legen «Necurs» lahm
Über das berüchtigte Botnet wurden seit acht Jahren massenhaft betrügerische E-Mails verschickt, darunter E-Banking- und Lösegeld-Trojaner.
Ziemlich sicher hast du schon ungewollte Spam-Mails bekommen, die vom Necurs-Botnet stammten: Dabei handelte es sich vermutlich um das grösste kriminelle Online-Netzwerk. Es wurde missbräuchlich genutzt, um betrügerische Nachrichten zu versenden an Adressaten in der ganzen Welt.
Damit nicht genug, war Necurs laut Einschätzung der Experten auch berüchtigt dafür, dass gezielt Malware und Lösegeld-Trojaner verteilt und Kryptomining betrieben wurde.
Erpresserische Nachricht nach einem Ransomware-Angriff Ende 2017: «Alle Ihre Dateien wurden verschlüsselt».
screenshot: twitter
Damit soll nun Schluss sein. Zumindest vorläufig. Die technische Infrastruktur der mutmasslich russischen Kriminellen ist beschlagnahmt worden, wie Microsoft am Dienstag in seinem Sicherheitsblog informierte. Gemeinsam mit Partnern aus 35 Ländern sei es gelungen, eines der aktivsten Bot-Netzwerke der Welt zu zerstören. Dem Schlag waren acht Jahre Ermittlung und Planung vorausgegangen, heisst es weiter.
Laut Erkenntnissen der Ermittler umfasste das Botnet über neun Millionen Windows-PCs rund um den Globus. Weil die Computer schlecht oder gar nicht abgesichert waren, wurden sie mit Malware infiziert und in der Folge missbräuchlich verwendet, um E-Mails mit kriminellem Inhalt zu verschicken.
«Während eines Zeitraums von nur 58 Tagen hat ein von den Ermittlern beobachteter infizierter Computer insgesamt 3,8 Millionen Spam-E-Mails an über 40,6 Millionen potenzielle Opfer versendet. Das zeigt, wie gross der Schaden allein durch dieses eine Netzwerk war.»
quelle: microsoft.com / via winfuture.de
Wer steckt dahinter?
Es wird laut Microsoft vermutet, dass Necurs von Kriminellen mit Sitz in Russland betrieben wurde. Neben pharmazeutischen Spam-E-Mails (Stichwort gefälschtes Billig-Viagra) wurden über das Necurs-Botnet auch Angriffe auf liebeshungrige Männer geführt, das sogenannte «Russian Dating». Dabei wurde den ahnungslosen Internet-Nutzern die Bekanntschaft von attraktiven Russinnen vorgegaukelt, um sie abzuzocken.
Um das kriminelle Netzwerk lahmzulegen, bzw. zumindest zu unterbrechen, arbeitete Microsoft laut eigenen Angaben mit Internet-Providern, Domain-Registrierungsstellen, staatlichen CERTs (IT-Sicherheitsstellen) und Strafverfolgungsbehörden in Frankreich, Indien, Japan, Kolumbien, Mexiko, Polen, Rumänien, Spanien und Taiwan zusammen.
Wie konnte das Botnet lahmgelegt werden?
Durch technische und juristische Massnahmen.
Zum einen sei es gelungen, den Algorithmus zu knacken, mit dem Necurs laufend neue Internet-Adressen (Domains) generieren konnte, fasst die Nachrichtenagentur SDA zusammen. «Damit konnten rund sechs Millionen Domains vorhergesagt werden, die das Botnet in den folgenden 25 Monaten angelegt hätte. Diese Domains konnten dann blockiert werden, so dass sie nicht mehr Teil des Botnets werden konnten.»
Letzte Woche erliess das US-Bezirksgericht für den östlichen Bezirk von New York eine Anordnung, die es Microsoft ermöglichte, die Kontrolle über die Infrastruktur zu übernehmen, wie winfuture.de schreibt. Microsoft konnte zudem ein raffiniertes System der Kriminellen aufdecken, mit dem sie neue Internet-Adressen automatisiert registrieren wollten. Die entsprechenden Domains seien den Registrierungsstellen gemeldet worden, so dass die Websites blockiert und daran gehindert werden konnten, Teil von Necurs zu werden.
Was kann ich tun?
Deinen PC auf Malware-Befall prüfen!
Mit dem Safety Scanner von Microsoft kann man checken, ob der eigene Computer frei von Schädlingen ist. Das Gratis-Tool gibt es für (ältere) 32-Bit- und 64-Bit-Rechner und kann hier über die Microsoft-Website heruntergeladen werden.
Wars das?
Ziemlich sicher nicht.
Die Kriminellen werden neue Wege finden, um ihre betrügerischen E-Mails an den Mann und die Frau zu bringen. Und sie lassen sich dafür auch von Dritten bezahlen ...
«Zudem sollen die Hintermänner den Zugang zu den infizierten Computern als Teil eines Botnet-for-hire-Dienstes an andere Cyberkriminelle verkauft oder vermietet haben.»
quelle: microsoft.com / via winfuture.de
Quellen
(dsc, via winfuture.de)
Ransomware – Angriff der Verschlüsselungstrojaner
Wenn diese hässliche Fratze auf dem Bildschirm auftaucht, ist es zu spät ... Screenshot: Youtube
Der Verschlüsselungstrojaner «Jigsaw» terrorisierte 2016 Windows-User. Der unbekannte Urheber verschlüsselte Dateien und drohte, sie zu löschen, wenn nicht das geforderte Lösegeld in Bitcoin bezahlt wurde. Keystone / Christian Beutler
In der Schweiz ging es 2011 los mit dieser Fake-Meldung, die angeblich von der Schweizer Bundespolizei stammte. Bei infizierten Rechnern wurde der Bildschirm blockiert und die Opfer sollten eine Geldstrafe bezahlen, weil angeblich illegale Inhalte auf der Festplatte entdeckt wurden.
Diese Art von Windows-Malware war laut Experten des Bundes noch relativ harmlos und konnte in den meisten Fällen durch eine einfache Analyse des PCs mit einer Antiviren-Live-CD entfernt werden. Zwei Jahre später ging es richtig los... EPA/DPA / JENS BUETTNER
2013 sorgte mit dem «Cryptolocker» erstmals eine Windows-Malware mit Verschlüsselungsfunktion für Schlagzeilen. Während mehr als einem halben Jahr wurden Computer befallen. Betroffen waren User-Daten auf der Festplatte als auch auf lokal angeschlossenen Datenträgern.
2014 rüsteten die Kriminellen auf. Los gings mit «SynoLocker», der Verschlüsselungstrojaner attackierte Netzwerkspeicher-Geräte (NAS) der Firma Synology. Die ausgenützte Schwachstelle war bekannt und ein Sicherheits-Update Monate zuvor von Synology veröffentlicht worden.
Dieser Fall zeigte laut den IT-Sicherheitsexperte der Schweizer Fachstelle MELANI die Notwendigkeit, nicht nur Programme und Betriebssysteme von Computern regelmässig zu aktualisieren, sondern auch die Firmware von Routern, NAS-Geräten und ähnlichen Komponenten auf dem neusten Stand zu halten. EPA/EPA / RITCHIE B. TONGO
Ebenfalls 2014 verbreitete sich der Verschlüsselungstrojaner «CTB-Locker» über gehackte Websites von Online-Medien. Die Windows-Malware kommunizierte verschlüsselt mit einem «Command und Control»-Server (C2) der Kriminellen. Mit dem Anonymisierungsdienst «Tor» versuchten sie ihre Spuren zu verwischen.
Trotzdem gelang es drei Jahre später, in Rumänien fünf Personen zu verhaften. Die Bande soll für die Ransomware-Attacke auf zehntausende Computer in Europa und den USA verantwortlich sein (Quelle: thehackernews.com) 2015 waren «Teslacrypt» und «Cryptowall» die aktivsten Ransomware-Familien, laut MELANI-Bericht. Interessantes Detail: Im Mai 2016 deaktivierten die TeslaCrypt-Hintermänner die Ransomware und veröffentlichten den Master-Key für die Entschlüsselung der Daten.
2016 boomte die Ransomware: Nun befielen Computer-Schädlinge wie «Locky» publikumswirksam sogenannt kritische Infrastrukturen, insbesondere Spitäler in Deutschland und den USA.
2017 gab es zwei grosse internationale Ransomware-Angriffswellen: «WannaCry» befiel mindestens 200’000 Computer in 150 Ländern. EPA/EPA / RITCHIE B. TONGO
Die namhaftesten WannaCry-Opfer waren laut MELANI-Bericht das spanische Telekommunikationsunternehmen Telefonica, Krankenhäuser in Grossbritannien und die Deutsche Bahn. In der Schweiz wurden einige hundert Opfer gezählt, kritische Infrastrukturen befanden sich keine darunter. AP/Yonhap / Yun Dong-jin
Kurz darauf wütete die Malware «NotPetya» zuerst in der Ukraine, wo sie unter anderem den Flughafen Kiew, die ukrainische Zentralbank und die Radioaktivitätsmessstelle in Tschernobyl erfolgreich attackierte, wie MELANI schreibt. EPA/EPA / BARBARA WALTON
Die Windows-Malware verbreitete sich global via ukrainische Ableger von multinationalen Konzernen. Zu den bekanntesten Opfern zählten die weltweit grösste Container-Reederei, die dänische Maersk, und der US-Pharmariese Merck. «NotPetya» traf auch Opfer in der Schweiz AP/CHINATOPIX
In der zweiten Jahreshälfte 2017 verbreitete sich «BadRabbit», hauptsächlich in Russland, aber auch in der Ukraine, Deutschland und der Türkei. Der Angriff erfolgte über vorgetäuschte Software-Updates von Adobe Flash und nutzte den geleakten «EternalRomance»-Exploit der NSA. AP/AP / Pavel Golovkin
Bei «WannaCry» und «NotPetya» verbreitete sich die Windows-Malware laut MELANI-Bericht wurmartig in Netzwerken – also selbständig – durch die Ausnützung einer Lücke im SMB-Protokoll. EPA/EPA / STEPAN FRANKO
Mit «Ryuk» erschien 2018 ein Verschlüsselungstrojaner, der laut MELANI-Bericht gezielt bei Organisationen platziert wurde. Mit dem Ziel, hohe Lösegelder zu verlangen. Benannt ist der Windows-Schädling nach einer japanischen Manga-Figur.
In der ersten Jahreshälfte 2019 nahm die Zahl der gezielten Ransomware-Angriffe laut MELANI weiter zu. Zu «Ryuk», «GandCrab» und «Dharma» gesellten sich «LockerGoga», «MegaCortex» und «RobbinHood». (Bild: sophos.com) IT-Sicherheitsexperten im In- und Ausland sind sich einig: Angriffe mit Ransomware stellten eine der gefährlichsten Cyber-Bedrohungen für Unternehmen, Organisationen und Verwaltungen dar. AP/AP / Mike Corder
Zu viel am Handy? Dr. Watson weiss, woran du leidest
Video: watson / Knackeboul, Lya Saxer
Mehr zu Sicherheitslücken und Malware