News

Europol, FBI und Co. attackieren Botnetz Dorkbot

In der vergangenen Woche haben die Kämpfer wider die Botnetze der Infrastruktur eines der am weitesten verbreiteten Schädlinge einen vernichtenden Schlag zugefügt, und zwar ist die Rede von Dorkbot. Laut Experteneinschätzung hat dieser Windows-Wurm mit der Funktionalität einer Backdoor innerhalb von vier Jahren mehr als 1 Million Computer in 190 Ländern der Welt infiziert.

An der grenzübergreifenden Operation nahmen das unter der Ägide Europols stehende Europäische Zentrum zur Bekämpfung der Cyberkriminalität (EC3), die europäische Joint Cybercrime Action Taskforce (J-CAT), Interpol, das FBI sowie Strafverfolgungsorgane aus Kanada, Belgien, Frankreich, Litauen, Spanien, den Niederlanden, Albanien und Montenegro teil. Insbesondere half die kanadische Polizei der Staatsanwaltschaft dieses Landes, im Rahmen des geltenden Gesetzes über Spam den ersten Beschluss dieser Art umzusetzen und einen C&C-Server von Dorkbot in Toronto stillzulegen.

Unterstützung von Expertenseite erhielten die staatlichen Organe von Microsoft, ESET sowie dem polnischen und dem amerikanischen CERT. Zum gegenwärtigen Zeitpunkt sind die Teilnehmer an der gemeinsamen Aktion mit dem Auszählen derjenigen beschäftigt, die unter der Aktivität der Botmaster zu leiden hatten.

Microsoft und ESET beobachten Dorkbot (auf dem Schwarzmarkt ist der Schädling als NgrBot bekannt) seit 2011. Dieser Wurm verbreitet sich über USB-Sticks, IM-Kanäle, soziale Netzwerke und Drive-by-Downloads mittels Exploits. Laut Aussage der Experten setzen einige Betreiber von Zombienetzen auf der Basis von Dorkbot auch ein spezielles Downloader-Modul ein.

Die Hauptaufgabe des Schädlings besteht laut Microsoft im Diebstahl von Konto-Zugangsdaten und persönlichen Informationen. Dorkbot überwacht die Verbindungssessions über den Browser und verfolgt das Betreten bestimmter Websites. Die Schädlinge interessieren sich in erster Linie für Mail-Services, wie etwa AOL, Gmail und Yahoo, soziale Netzwerke (Facebook, Twitter) sowie auch eBay, PayPal, Steam, YouTube, Netflix und andere.

Nach seinem Start auf dem Rechner des Opfers öffnet Dorkbot eine Backdoor und wartet auf die Befehle seiner Gebieter. Was in den meisten Fällen zuerst erledigt werden muss, ist die Selbstverbreitung oder der Download eines anderen Schädlings. Im letztgenannten Fall ist die Auswahl groß, sie reicht von Downloadern in der Art von Gamarue/Andromeda oder Necurs über Verschlüsselungsschädlinge (Crowti/Cryptowall) bis zu Spam-Bots, wie etwa Waledac, Kelihos und Lethic.

Dorkbot kann zudem auf Befehl den Zugriff des Opfers auf Computersicherheits-Websites blockieren, um zu verhindern, dass vorhandene AV-Schutzlösungen aktualisiert werden. Der Schädling hält auch die Zeit seiner ersten Ausführung fest und beim Erhalt eines Updates gleicht er dieses mit der Zeitmarke ab: Der zeitliche Abstand sollte nicht weniger als 48 Stunden betragen, andernfalls würde der Aufruf der URL entdeckt, sollte der Start in einer Sandbox erfolgt sein.

Die Steuerung von Dorkbot erfolgt über IRC-Kanäle, einige Varianten des Wurms verwenden laut Microsoft geschützte Verbindungen (SSL). Die Adressen der C&C-Server sind üblicherweise in das IRC-Modul des Schädlings geschrieben. Bei der ersten Verbindung teilt Dorkbot den Botmastern seinen Standort mit, die Windows-Version und die persönliche ID. Daraufhin ist er bereit für die Ausführung der Befehle.

Im letzten halben Jahr wurden laut Microsoft durchschnittlich 100.000 Dorkbot-Infektionen pro Monat registriert. Die meisten Bots wurden in Indien (21% der Gesamtmenge), Indonesien (17%), Russland und Argentinien (16 und 14% respektive) gefunden. Dabei entfielen auf die zehn nach diesem Wert führenden Länder insgesamt 61% der Detektionen.

Quelle: Europol

Europol, FBI und Co. attackieren Botnetz Dorkbot

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach