Konzertierte Aktion legte Schadsoftware lahm
Es waren Ermittler aus Niedersachsen, die erneut ein globales Botnetz zur Verbreitung von Schadsoftware lahmgelegt haben, wie n-tv.de dazu informierte. Laut Lüneburger Polizei und Staatsanwaltschaft Verden waren an der geplanten Aktion die US-Bundespolizei FBI und die EU-Polizeibehörde Europol sowie Ermittler in 25 weiteren Ländern von Finnland bis Pakistan beteiligt.
Das Botnetz, das aus vielen mit Malware infizierten Computern besteht kann von den Angreifern für ferngesteuerte Aktionen missbraucht werden. Das bedeutet unter anderem, dass Webseiten durch die Masse an Datenverkehr zum Absturz gebracht werden können.
Mehrere Millionen PC-Systeme infiziert
Über das Botnetz wurde den Angaben zufolge eine Schadsoftware verbreitet, die Computer ausspähte und Trojaner nachlud, um deren Besitzer bei Bankgeschäften per Internet zu schädigen. "Mittels dieser Schadsoftware gelang es den Tätern in den letzten Jahren mehrere Millionen PC-Systeme zu infizieren", erklärten die Ermittler. Hauptsächlich betroffen gewesen seien:
- Nordamerika
- Asien
- Europa (unter anderem Deutschland)
Die ursprünglichen Ermittlungen, die vom FBI und dem Softwareunternehmen Microsoft geführt wurden, laufen bereits seit dem Jahr 2015. Nachdem die Experten der zentralen Kriminalinspektion Lüneburg im vorigen Jahr das gigantische Botnetz "Avalanche" zerschlagen hatten, baten die US-Behörden diese um Hilfe. Sowohl "Avalanche" als auch das jetzt lahmgelegte Netz verbreiteten dieselbe Schadsoftware.
Festnahme in Weißrussland
Gemeinsam analysierten die Experten die Struktur des Netzwerks und konnten die relevanten Knotenpunkte identifizieren. Nach Angaben der niedersächsischen Behörden führten Ermittlungen des FBI zu einem Verdächtigen in Weißrussland, der dort vor etwa einer Woche festgenommen wurde. Zudem schalteten die Ermittler sieben Steuerungsserver in sechs Ländern ab.
Darüber hinaus konnten die Ermittler die Kontrolle über 1500 Internet-Adressen (Domains) übernehmen, über die die Schadsoftware bösartige Software-Komponenten nachladen. Dadurch habe man Ende November an einem einzigen Tag 1,35 Millionen IT-Systeme identifiziert, die mit der "Andromeda"-Schadsoftware befallen waren. Die betroffenen PC-Besitzer werden nun benachrichtigt.
Wie erfolgte die Infektion?
Die Verbreitung der Software erfolgte über die „Botnetzrechner“ einmal über E-Mails mit infizierten Links. Daneben waren es manipulierte Werbebanner oder manipulierte Webseiten zweifelhaften Inhalts wie Pornographie oder Videostream-Werbung.
