Dem IT-Riesen Microsoft ist in Kooperation mit insgesamt 35 Partnern aus der ganzen Welt ein großer Schlag gegen eines der größten und aktivsten Botnetze gelungen. Das Spamer-Netzwerk Necurs stand bereits seit mehr als 8 Jahren im Fokus verschiedener Ermittler. Bereits 2010 gab es erste Hinweise zum Bot-Netzwerk, welches aus mehr als 9 Millionen infizierten Systemen bestand. Das Netzwerk wurde von Cyber-Kriminellen für die Verbreitung von Schadsoftware genutzt. Unter der verbreiteten Schadsoftware befand sich der Aktienscam „pump and dump“ oder der Trojaner „GameOver Zeus“. Darüber hinaus wurden auch verschiedene Spam-Email über dieses Netzwerk versendet, unter anderem zum Beispiel Mails über falsche Pharma-Produkte und Datingangebote. Microsoft’s Abteilung für Cyberkriminalität „Microsoft Digital Crimes Unit“ und auch andere Unternehmen wie zum Beispiel „BitSight“ beobachteten erstmalig das Netzwerk um 2012. Damals verfolgte man wie sich verschiedene Malware ausgebreitet hatte und entdeckte dabei besagtes Netzwerk.
In seinem Blog gibt Microsoft genauere Details über das Vorgehen gegen das Netzwerk bekannt. Dem endgültigen Schlag gingen 8 Jahre der Planung, Verfolgung und Analyse voraus. Um das Netzwerk zu zerstören und um damit zu verhindern, dass die Kriminellen weiter über das Netzwerk Schadsoftware verbreiten können, wurden sowohl technische als auch rechtliche Methoden angewendet.
Das Bot-Netzwerk Necurs und seine Gefahr
Im Bereich des Spaming war das Necurs-Netzwerk eines der größten und aktivsten Netzwerke überhaupt, welches infizierte Systeme in so ziemlich jedem Teil der Welt kontrollierte. Microsoft beobachtete, dass das Netzwerk über gerade einmal 3,8 Millionen Computer Spam-Mails an ganze 40,6 Millionen Opfer versendete. Die Ermittler der Kooperation vermuten, dass die Quelle des Netzwerkes aus Russland von einer kriminellen Gruppierung stammt. Bei näherer Analyse entdeckten die Ermittler bei Microsoft, dass das Netzwerk auch für Kryptomining verwendet wird und sogar über die Fähigkeit verfügt DDoS-Attacken durchzuführen. Bei Kryptomining werden Systeme dazu genutzt für Digitale Währungen wie zum Beispiel Bitcoin sogenannte Hashes zu generieren, welche für die Sicherheit der Überweisungen mit diesen mitverantwortlich sind. Als „Aufwandsentschädigung“ erhält man im Gegenzug einen bestimmten (sehr sehr kleinen) Betrag ebenfalls als Bitcoin gutgeschrieben. Das DDoS hingegen ist eine Möglichkeit bestimmte Server-Systeme und somit die darauf laufenden Plattformen außer Gefecht zu setzen. In den letzten Jahren traf es immer gerne zur Weihnachtszeit das Playstation-Netzwerk. Bis zur Azure-Umstellung beim Wechsel von Xbox 360 auf die Xbox One waren auch immer die Xbox Live-Dienste betroffen, doch seitdem die Xbox-Dienste bei Azure in der Cloud liegen, hört man davon kaum noch was. Das waren aber nur zwei Beispiele. Bei einem DDoS-Angriff werden Befehle an möglichst viele verschiedene Systeme gesendet, welche wiederum bestimmte Adressen oder IP’s im Internet schnell und wiederholend aufrufen. Auf diese Weise sind die Server dann irgendwann so sehr überlastet, dass das System zusammenbricht.
Microsoft übernimmt die Kontrolle über Necurs
Erst in der letzten Woche hat das US-Bezirksgericht für New York (Ost) eine Anordnung erlassen, welche es Microsoft erlaubte, sich selbst in das Netzwerk rein zu hacken und in Folge dessen dieses zu übernehmen. Dabei machten die Microsoft-Mitarbeiter eine erneute Entdeckung. Das Netzwerk war mit einer bestimmten Technik dabei, automatisiert Domains zu generieren, welche wohl für die nächsten 25 Monate verwendet werden sollten.
Zuletzt bietet Microsoft ein kleines Tool an, um zu prüfen ob das eigene System von Malware betroffen ist: Safety Scanner. Auf dieser Seite bietet Microsoft das Tool sowohl als 32bit als auch als 64bit-Version an und erklärt (auf Englisch) das Tool und wie man es einsetzt. Im Sinne des Selbstschutzes sollte generell jeder umsichtig im Netz unterwegs sein.
Quelle: Microsoft Blog