Studie von Dell SecureWorks: Kampf gegen Botnetze bringt keine langfristigen Resultate

Laut einer neuen Studie von Dell SecureWorks, die auf der RSA-Konferenz in San Francisco vorgestellt wurde, stellen Bank-Botnetze nach wie vor eine Bedrohung dar – trotz aller Aufsehen erregenden Aktionen zur Zerschlagung von Zombie-Netzwerken, die nur eine kurzfristigen Effekt haben.

Zwischen Mitte 2014 und Anfang 2015 machten es konzertierte Anstrengungen von Strafverfolgungsbehörden und privaten Organisationen der Branche möglich, drei der aktivsten Bank-Botnetze zu zerstören. Zwei unabhängige Operationen wurden gegen die Botnetze Gameover Zeus und Shylock geführt. Während der Operation Tovar gelang es Sicherheitsexperten, Designfehler im p2p-Netz von Gameover Zeus auszunutzen, um sich in die Knotenliste einzumischen und den Traffic auf von Forschern kontrollierten Knoten umzuleiten, was zur Zerstörung der Botnetz-Infrastruktur führte. Einige Wochen später, im Laufe einer anderen globalen Operation, wurden C&C-Server und Domains beschlagnahmt, die mit der Infrastruktur von Shylock zusammenhingen. Im Jahr 2015 fing Europol zusammen mit einer Vielzahl von Strafverfolgungsbehörden und Vertretern der Branche Server und andere wichtige Elemente der Infrastruktur ab, die der Gruppe, die hinter dem Botnetz Ramnit steht, zuzuordnen sind.

Cyberkriminelle passen sich schnell an die Kontermaßnahmen und Operationen gegen ihre Infrastrukturen an, indem sie ihre Software verbessern und neue, kniffligere Botnetze aufbauen. Mit dem Erscheinen neuer Technologien erscheinen auch neue Bedrohungen. So gab es im Jahr 2014 Attacken auf Online-Banking-Plattformen, und auch die Methoden zur Umgehung der Standardauthentifizierung wurden perfektioniert.

Eine Analyse der Aktivität von Bank-Botnetzen im Jahr 2014 und zu Beginn des Jahres 2015, die von dem Counter Threat Unit, CTU, von Dell SecureWorks durchgeführt wurde, ermöglicht es, einige wichtige Schlüsse zu ziehen:

  • Neben den traditionellen Bank-Websites werden jetzt auch Corporate Finance Websites, Services zur Auszahlung von Löhnen und Gehältern, Börsen, soziale Netzwerke, E-Mail-Dienste, Stellenmarktportale, Unterhaltungswebsites, Hosting-Provider, Telefongesellschaften, Kontaktwebsites angegriffen.
  • Cyberkriminelle benutzen Bank-Trojaner für Angriffe auf mehr als 1.400 Finanzeinrichtungen in mehr als 80 Ländern.
  • Über 90% der Bank-Trojaner greifen Finanzinstitute an, die sich in den USA befinden. Ebenfalls Attacken ausgesetzt sind Organisationen in Großbritannien, Deutschland, Italien, Spanien und Australien.
  • Online-Verbrecher konzentrieren sich auf Ziele in asiatischen Ländern, wo die Finanzorganisationen schwache Systeme zum Schutz der Konten verwenden.
  • Nach der Zerschlagung von Gameover Zeus und Shylock erschienen Dyre, Bugat v5 (auch bekannt als Dridex) und Vawtrak (Gozi-Variante) auf der Bildfläche.
  • Botnetze setzen immer mehr auf Netzwerke zur Anonymisierung von Verbindungsdaten, wie z.B. Tor oder I2P, die die Entdeckung und Zerstörung der Infrastruktur verhindern.
  • Die Aktivität von Zeus und seinen Variationen fiel in die zweite Jahreshälfte 2014, als gleichzeitig die Aktivität von Dyre, Gozi/Vawtrak und Bugat v5 spürbar zunahm.
  • Dyre und Bugat v5 enthalten nun einen Dienst zum Spamversand, was eine Abweichung von dem Modell „Spam as a Service“ darstellt, das von anderen Botnetzen genutzt wird.
  • Als Downloader im ersten Infektionsstadium kommen immer häufiger Kegotip, Chanitor, Upatre, und Lerspeng zum Einsatz.

Quelle:         Secureworks

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.