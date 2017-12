Dass der PC oder das Notebook mit Schadsoftware infiziert ist, bekommen viele Nutzer gar nicht mit. (dpa)

Unter der Sachleitung der Staatsanwaltschaft Verden ist der Zentralen Kriminalinspektion Lüneburg ein Schlag gegen ein international agierendes Botnetz gelungen. Ein Jahr nachdem bereits ein Schlag gegen die Botnetzinfrastruktur "Avalanche" gelang, ist nun ein weiteres Botnetzwerk abgeschaltet.

Bei der Abschaltung von "Avalanche" war den Ermittlern im vergangenen Jahr aufgefallen, dass die Schadsoftware "Andromeda" noch über ein zusätzliches Botnetzwerk verteilt wurde. Dabei unterstützten die Ermittler aus Lüneburg das FBI bei der Vorbereitung und Planung zur Abschaltung des Botnetzes.

"Die Infektion des Opfer-Systems mit der Schadsoftware „Andromeda“ erfolgt zum einen per E-Mail, welche einen schadhaften Link enthält", erklärte Lutz Gaebel, Pressesprecher der Staatsanwaltschaft Verden. Durch Anklicken des Links laden sich die Opfer ein Word-Dokument auf den PC, mit dem sie zu einem Download aufgefordert werden, der die Infizierung des eigenen PCs zur Folge hat. Zusätzlich könne die Infizierung aber auch über kompromittierte Werbebanner erfolgen. Die Schadsoftware ist in der Lage, einen Banking-Trojaner herunter zu laden, der die ausgespähten Daten auf die des Opfers abstimmt. "Mittels dieser Schadsoftware gelang es den Tätern in den letzten Jahren mehrere Millionen PC-Systeme zu infizieren", so Gaebel. Mit der Software seien PCs in Nordamerika, Asien sowie in Europa mit den Schwerpunktländern Rumänien, Italien, Deutschland und Polen infiziert worden.

Die bereits vor zwei Jahren vom FBI gestarteten Untersuchungen führten die Ermittler nach Weißrussland, wo bereits Ende November ein Tatverdächtiger festgenommen wurde. Bei der Durchsuchung seiner Wohnung wurden mehrere Datensysteme und Speichermedien beschlagnahmt.

Zusätzlich wurden von den Behörden sieben zur Verbreitung der Schadsoftware eingesetzte Steuerserver in sechs verschiedenen Ländern beschlagnahmt beziehungsweise abgeschaltet. Parallel wurden alleine 1500 Domains der Schadsoftware Andromeda mit einer Sinkholing-Maßnahme belegt. Beim Sinkholing wird verhindert, dass der mit Schadsoftware infizierte PC sich nicht mit dem Steuerserver verbinden kann. Stattdessen wird die Anfrage auf einen Behördernserver weitergeleitet, der der Schadsoftware mitteilt, dass sie keine Arbeit erledigen muss. Eine Abschaltung des Steuerservers ist jedoch nicht möglich. "Dann würde sich die Schadsoftware einfach eine neue Domain suchen, mit der sie kommuniziert", erklärt Gaebel. "Dadurch wurden alleine seit dem 30. November 1,35 Millionen IT-System identifiziert, die mit der Schadsoftware befallen waren", erklärte Gaebel. Durch das Abfangen der Meldungen der Schadsoftware hätte man die IP-Adressen der Nutzer erhalten. Über diese hätte man die Provider kontaktiert, die widerum postalisch die Betroffenen über die Infizierung informiert hätten.

Ferner teilte die Staatswanwaltschaft mit, dass die Sinkholing-Maßnahmen aus dem Avalanche-Verfahren nochmals verlängert wurden. In Zusammenarbeit mit dem Fraunhofer Institut, der Shadowserver Foundation sowie dem Registrat of Last Resort wurden nach der Analyse weitere Schadprogramme 750.000 weitere Domains dem Missbrauch durch die Täter entzogen. "Eine Verlängerung dieser Maßnahmen war notwendig, da bundesweit immer noch 39 Prozent der ursprünglich in Avalanche infizierten Computersysteme bis heute weiterhin infiziert sind", so Gaebel.

Informationen zur Absicherung des eigenen PCs oder auch zur Entfernung von Schadsoftware erhält man beim Bundesamt für Sicherheit in der Informationstechnik. Weitere Informationen über Botnetze finden Sie hier. (sei)