Botnet Ramnit unschädlich gemacht

Das unter Finanzbetrügern äußerst populäre Botnet Ramnit wurde in einer grenzübergreifenden Aktion unter der Leitung des European Cybercrime Centers (ЕС3) zu Fall gebracht.

Wie es in einer Presseerklärung des ЕС3 heißt, waren an der gemeinsamen Operation europäische Wissenschaftler sowie Experten von Microsoft, AnubisNetworks und Symantec beteiligt. Als Ergebnis der konzertierten Aktion gelang es ihnen, die Kontrollinfrastruktur des Botnets zu neutralisieren und den Traffic von 300 Domains, die von Ramnit benutzt wurden, auf Knoten umzuleiten, die die bevollmächtigen Organisationen kontrolliert werden.

Nach Einschätzung des ЕС3 infizierte der Schädling Ramnit mehr als 3,2 Millionen Computer unter Windows. Die Cyberkriminellen verbreiten ihn über Spam, Phishing-Links und Drive-by-Downloads, wobei sie auf Social Engineering Methoden zurückgreifen. Ramnit gewährleistet seinen Betreibern Zugriff auf die infizierten Rechner und ermöglicht ihnen den Raub von Bank-Requisiten, Passwörter für Accounts bei sozialen Netzwerken, Zugangsdaten zu FTP-Servern und vieles mehr. Dieser Schädling ist außerdem in der Lage, Antiviren-Software auszuschalten, wobei er sich an eine Liste populärer Schutzlösungen orientiert.

Der Einsatzleiter des ЕС3, Paul Gillen, erklärte gegenüber der Nachrichtenagentur Reuters, dass es den Teilnehmern der Aktion gelungen sei, sieben Kontrollserver von Ramnit unschädlich zu machen. „Die Täter haben die Kontrolle über die Infrastruktur verloren“, resümierte er.

Vor zwei Jahren veröffentlichte Microsoft einen detaillierten Bericht über Ramnit, in dem das Unternehmen feststellte, dass die Botnet-Betreiber nicht nur den Schutz des Schädlings vor Entdeckung verbessert haben, sondern auch das System zur Steuerung der Bots. So führten sie beispielsweise zusätzliche Verschlüsselungsoperationen durch, um die Entdeckung des Schadcodes zu erschweren.

Die Strafverfolgungsaktion gegen Ramnit ist die jüngste Operation in einer langen Reihe von analogen Aktionen im Kampf gegen Botnetze, die Polizeibehörden gemeinsam mit IT-Unternehmen durchführen, darunter auch Microsoft. Letztgenannte Softwareschmiede fügte seiner Website eine neue Seite hinzu, auf der erklärt wird, wie Ramnit erkannt und von einem befallenen Rechner gelöscht werden kann.

„Diese Operation beweist einmal mehr die Bedeutung der Zusammenarbeit von Strafverfolgungsbehörden und der privaten Wirtschaft für einen erfolgreichen Kampf gegen globale Bedrohungen wie die Cyberkriminalität“, erklärte Europols stellvertretender Ermittlungsleiter, Wil van Gemert. „Wir werden die Operation zur Zerschlagung des Botnetzes und der Schlüsselinfrastruktur, die von Cyberkriminellen zur Durchführung aller nur erdenklichen Verbrechen benutzt wird, mit äußerster Entschlossenheit weiter vorantreiben. Der umfassende Schutz der Anwender vor solcher verbrecherischer Aktivität ist eine wichtige Aufgabe, die wir gemeinsam mit den EU-Mitgliedsstaaten und unseren ausländischen Partnern lösen.“

Für Microsoft ist das keineswegs die erste Erfahrung im Kampf gegen Botnet-Betreiber. Auf das Konto des Unternehmens geht bereits eine Reihe analoger Operationen, unter anderem gegen Nitol, ZeuS und GameOver/Cryptolocker. Leider verliefen nicht alle Initiativen des Softwaregiganten auf diesem Gebiet reibungslos. So führte Microsoft im Sommer letzten Jahres beispielsweise eine Attacke auf die Infrastruktur gleich mehrerer Schadfamilien durch und strengte eine Klage gegen einen DDNS-Provider an, dessen Dienstleistungen von Cyberkriminellen ausgenutzt wurden. Im Laufe der Operation gelang es den Experten, eine Reihe von Domains auszutauschen, die mit dem Botnetzen in Verbindung gebracht wurden. Allerdings stellte sich heraus, dass einige von ihnen für die Forschung auf dem Gebiet IT-Sicherheit genutzt werden. Überdies hatte diese mit niemandem abgesprochene Zerschlagungsaktion zur Folge, dass die DNS-Versorgung der legitimen Kunden des Providers gestört wurde. Als Konsequenz musste Microsoft dem Betreiber des DNS-Services alle beschlagnahmten Domains zurückgeben, der seinerseits zustimmte, den Experten bei der Identifizierung der schädlichen Subdomains zu helfen.

In einem kürzlich veröffentlichten Bericht von Kaspersky Lab über finanzielle Cyberbedrohungen wird darauf hingewiesen, dass die Schutzlösungen des AV-Unternehmens im Jahr 2014 insgesamt 23 Millionen Attacken registrierten, im Rahmen derer Bank-Trojaner und andere Finanzschädlinge in der Art von Ramnit eingesetzt wurden. Gemäß der im Bericht aufgeführten Statistik stieg der Anteil der Schadattacken, die sich gegen Online-Banking-Kunden richtet, um 8,9 Prozentpunkte auf nunmehr 76,5% aller Attacken unter Verwendung von Finanzschädlingen.

„Diejenigen, die meinen, Cyberkriminelle kämen ungestraft davon, muss ich leider enttäuschen“, erklärte David Emm, Senior Regional Researcher des Global Research and Analysis Teams von Kaspersky Lab, „denn die Polizeibehörden sind in der Lage, die Aktivität von Cyberkriminellen zu unterbinden. Besonders hervorheben möchte ich die Wichtigkeit der internationalen Zusammenarbeit, da es sich bei der Cyberkriminalität um eine globale Erscheinung handelt.“

Quelle:        Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.