Produkte und Services PRODUKTE & SERVICES

Botnets: Größer und immer besser getarnt

Im Jahr 2013 haben sich Botnets weiter ausgebreitet, sind resistenter geworden und haben ihre Tarnung verbessert. Wozu sie in der Lage sind, zeigt der millionfache Klau von Email-Accounts, der kürzlich bekannt geworden ist. Zusätzlich nehmen sie offenbar neue Ziele ins Visier. Normalerweise halten die Entwickler von Botnets ihren Quellcode streng geheim. Denn wenn Cyberkriminelle die Botnets nicht mehr aktiv nutzen möchten, können sie den Code häufig zu hohen Preisen verkaufen. In den letzten Jahren wurde jedoch immer mehr Botnet-Quellcode öffentlich. Dadurch können Nachahmer ihre eigenen Botnets erstellen und diese so raffiniert weiterentwickeln, wie es die ursprünglichen Programmierer nie für möglich gehalten hätten.

So führte das Bekanntwerden des Zeus-Codes vor ein paar Jahren zur Entwicklung der Variante “Gameover“. Diese nutzt zur Kommunikation im Gegensatz zum ursprünglichen Zeus nicht mehr einen zentralen “Command-and-Control”-Server (C&C), sondern ein weitflächiges Peer-to-Peer-Netzwerk aus infizierten Geräten. Gameover integrierte Backup-Mechanismen zur Kommunikation, setzte vermehrt auf Verschlüsselung und bot mehr Möglichkeiten, das Botnet flexibel für unterschiedliche Zwecke einzusetzen, z. B. für DDoS-Angriffe.

Botnets sind resistenter geworden

Botnets verfügen mittlerweile über verschiedene Backup-Mechanismen zur Kommunikation und Steuerung. Kann sich ein infizierter Client wie Gameover beispielsweise nicht mit Adressen anderer infizierter Computer im Netzwerk verbinden, nutzt er einfach integrierte Algorithmen zur Generierung von Domänen. Wenn diese Algorithmen auch nur einen der neu eingerichteten C&C-Server entdecken, kann der Client seine aktive Rolle im Botnet wiederherstellen.

Außerdem reagieren die Botnet-Betreiber zunehmend schneller und effektiver auf Gegenmaßnahmen. So hatte ein Antivirus-Unternehmen die Kontrolle über einen Teil des Botnets ZeroAccess erlangt und den Traffic von 500.000 infizierten Clients auf einen eigenen Server umgeleitet (bekannt als Sinkholing). Im Gegenzug steigerten die Besitzer des Botnets mit Hilfe verbundener Netzwerke im Nu die Anzahl neuer Viren-Dropper, die sie auf den Clients platzierten. Innerhalb weniger Wochen hatten sie die verloren gegangenen Clients ersetzt. Diese waren nun außerdem immun gegen diese Maßnahme.

Botnets verbreiten immer tückischere Ransomware

Da Internet-Nutzer falsche Warnmeldungen und Antivirus-Scams immer häufiger erkennen, konzentrieren sich Botnets nun verstärkt auf Ransomware. Bei dieser Art Malware erhalten die Benutzer Forderungen, enorme Geldsummen zu zahlen, um wieder auf ihre eigenen Daten zugreifen zu können.

Das vermutlich gefährlichste und bekannteste Beispiel ist Cryptolocker. Diese Ransomware fügt sich selbst der Liste von Windows-Programmen hinzu, die beim Start ausgeführt werden. Sie macht einen infizierten Server ausfindig, lädt eine kleine ID-Datei von Ihrem Computer, kontaktiert den Server, der einen öffentlichen Schlüssel generiert (und einen entsprechenden privaten Schlüssel speichert) und verschlüsselt schließlich alle Daten- und Bilddateien auf dem Rechner.

Sobald die Daten verschlüsselt wurden, können Sie diese nur mit dem privaten Schlüssel wieder entsperren, der bei den Kriminellen gespeichert ist. Um den Schlüssel zu erhalten, müssen Sie eine Zahlung leisten (wovon wir abraten).

Cryptolocker wird manchmal durch Spam-Mails verbreitet, weit häufiger jedoch durch Botnets, die bereits einen PC infiziert haben. Die Bots reagieren dabei einfach auf einen Upgrade-Befehl, der es den Kriminellen ermöglicht, die Malware zu bearbeiten, die sie bereits auf dem PC platziert haben. Sie können diese aktualisieren, austauschen oder ihr etwas hinzufügen. Der Nutzer bemerkt in der Regel erst etwas, wenn es bereits zu spät ist.

Immer mehr Botnets mit Banking-Malware

Der Quellcode von Carberp, einem Botnet-Kit, das es auf Banken abgesehen hat, wurde Mitte 2013 im Netz veröffentlicht. Carberp stiehlt Anmeldedaten und wurde von Kriminellen genutzt, um insgesamt mehr als 200 Millionen Euro von Finanzinstituten und deren Kunden zu erbeuten. Während der Trojaner lange Zeit vor allem in Russland aktiv war, taucht er mittlerweile weltweit auf, und Teile der veröffentlichten Software findet man nun auch in anderen Botnets. Dazu zählt ein auf Power Loader basierender Code – ein Code, der einige der ausgefeiltesten Techniken umfasst, die bisher entwickelt wurden, um die Erkennung durch IT-Sicherheitsprogramme zu vermeiden, während Malware auf einem Computer platziert wird.

Zeitgleich haben viele Benutzer in Europa Begegnung mit Shylock/Caphaw gemacht, einer durch ein Botnet verbreiteten Banking-Malware, die besonders Kunden weltweiter, großer Banken im Visier hat, unter anderem Kunden von Barclays, der Bank of America, Capital One, der Citi Private Bank und Wells Fargo.

Antwort hinterlassen

Your email address will not be published. Required fields are marked *