Echtes Zeus-Botnetz bitte vortreten!

Die Zeus-Bots zählen zu den erfolgreichsten Bots überhaupt – in freier Wildbahn und in den Medien. In der letzten Zeit gab es viele Berichte rund um Zeus, wie z.B. neue Untersuchungen und die Nachricht darüber, dass der Internet Service Provider Troyak zeitweise vom Netz getrennt wurde.

Das alles ist natürlich sehr positiv. Denn häufig mangelt es an einem angemessenen Bewusstsein für die Gefahren, die online auf den User lauern, und die massive Berichterstattung rund um Zeus macht die Anwender auf die Raffinesse aufmerksam, mit der der cyberkriminelle Untergrund seine illegalen Geschäfte betreibt. Doch taucht in vielen dieser Berichte immer wieder derselbe Fehler auf, denn oft ist von „dem Zeus-Botnetz“ die Rede, was die Realität nicht korrekt widergibt.

In Wirklichkeit gibt es nämlich viele, viele verschiedene Zeus-Botnetze, die alle von unterschiedlichen Online-Betrügern betrieben werden. Die Zahl der einzelnen Zeus-Botnetze geht in die Hunderte. Denn die Cyberkriminellen, die hinter dem Zeus-Bot stecken, verkaufen es an jeden Interessierten, der dann wiederum sein eigenes, einzigartiges Botnetz aufbauen kann. Man kann sogar noch weiter gehen und annehmen, dass es verschiedene Seitenäste von Zeus gibt, die von wieder anderen Cyberkriminellen unterhalten werden.

Ausgehend von dieser Situation ist es nicht unwahrscheinlich, dass Computer in großen Konzernen mit Zeus-Botvarianten infiziert sind, die von unterschiedlichen Cyberkriminellen kontrolliert werden und demnach auch zu unterschiedlichen Zeus-Botnetzen gehören.

Um diesbezüglich eine Unterscheidung zu treffen, hat ein Sicherheitsunternehmen sich darauf verlegt, jedem einzelnen Zeus-Botnetz einen anderen Namen zu geben, wenn darüber in den Medien berichtet wurde. Aus meiner Sicht hat diese originelle Idee ihr Ziel verfehlt, denn anscheinend wurde damit nur noch größere Verwirrung gestiftet.

Ich bin leider nicht davon überzeugt, dass eine Vereinbarung zur Namensgebung für verschiedene Varianten eines bestimmten Bots kurzfristig nicht zu einem besseren Verständnis in der Öffentlichkeit führen wird. Was ist also zu tun? Meiner Meinung nach gibt es eine simple Regel.

Wenn sich die Sicherheitscommunity relativ sicher ist, dass ein bestimmter Bot von einer Gruppe von Cyberkriminellen kontrolliert wird, so können wir diese Bedrohung als Botnetz betrachten. Beispiele hierfür sind Conficker, Storm und Mebrootc. Wenn ein Bot im Untergrund erhältlich ist, so sollte die Bedrohung als Bot oder als von dem Bot erstellte Botnetze betrachtet werden. Beispiele hierfür sind Zeus, SpyEye und Poison Ivy.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.