Meist überschätzt: Auswirkungen von Botnet-Abschaltungen auf das Spam-Aufkommen

NetzwerkeSicherheitVirus

Eleven hat den Einfluss von Botnet-Abschaltungen auf das Spam-Aufkommen in den vergangenen vier Jahren untersucht. Demnach hatten nur wenige Botnet-Abschaltungen einen spürbaren Effekt auf das Spam-Aufkommen. Dennoch ging das in dem untersuchten Zeitraum deutlich zurück.

Zwei Wochen nach der Abschaltung von Grum, dem bis dahin drittgrößten Spam-Botnet der Welt, hat das Research-Team des Berliner E-Mail-Sicherheitsanbieters Eleven, Zahlen zu den Auswirkungen vorgestellt www.eleven.de/botnet-timeline.html Sie stehen in einem größeren Zusammenhang, in dem die Auswirkungen der wichtigsten Botnet-Abschaltungen seit 2008 untersucht werden. Die meisten Botnet-Abschaltungen hatten trotz des Rummels um ihr Ende demnach keinen spürbaren oder nur kurzfristigen Einfluss auf das Spam-Aufkommen.

Nach der Abschaltung des Mariposa-Botnets im Dezember 2009 stieg das Spam-Volumen sogar an. Aber selbst wenn der Effekt größer ist, etwa 2008, als die Internetverbindungen des Spamversendern gegenüber offenen Webhosters McColo gekappt wurden, dauert es in der Regel nur einige Wochen, bis das vorherige Spam-Niveau wieder erreicht ist.

Ähnlich verhielt es sich nach dem Schlag gegen das Zeus-Botnet im Frühjahr oder der Abschaltung von Cutwail und Waledac. Diese Erkenntnis hatte damals aber auch schon der zu Symantec gehörende Eleven-Konkurrent Message Labs in seinem Marktbericht veröffentlicht.

Das Aus für das Botnet Rustock hatte als eine der wenigen Botnet-Abschaltungen längerfristige Auswirkungen (Grafik: Eleven).

Einzige Ausnahme war laut Eleven das Ende das ehemals größten Botnets Rustock, dessen Kontrollserver im März 2011 vom Netz genommen wurden. Hier waren die Auswirkungen nicht nur kurzfristig, sondern zum Teil noch ein Jahr später zu spüren – sowohl in Bezug auf das Spam-Aufkommen als auch auf die geografische Herkunft und die thematische Ausrichtung des Spam-Versands.

Der ausbleibende Einfluss der meisten Botnet-Abschaltungen zeigt nach Ansicht der Eleven-Experten, dass die Botnetbetreiber zumeist in der Lage sind, ihre Infrastrukturen sehr schnell wiederherzustellen. Außerdem seien die aktuellen Botnet-Generation so robust aufgebaut ist, dass Abschaltungen oftmals nicht die gesamten Kontroll-Infrastrukturen zerschlagen.

Dafür, dass die Anzahl der Spam-Mails im Untrsuchungszeitraum dennoch rückläufig ist, sind wahrscheinlich andere Gründe als die Botnet-Abschaltungen wesentlich bedeutsamer. Nach Ansicht der Eleven-Experten geht inzwischen auch bei den Smap-Versendern Qualität vor Quantität. Das heißt, sie versenden weniger, dafür aber zielgerichtetere Mails. Zum Beispiel gehen Mails mit der Aufforderung, seine Daten anzugeben, um in den Genuß einer angeblichen Steuererstattung zu kommen, in erster Linie an Empfänger in Deutschland; Lockmails, die Karten für Olympia-Veranstaltungen versprechen, Nutzer aber auf Malware-verseuchte Websites lotsen, dagegen in erster Linie an Briten.

Das Spam-Aufkommen insgesamt ist zwar seit Ende 2010 rückläufig, die medienwirksamen Abschaltungen großer Botnetze haben dazu aber laut einer Untersuchung von Eleven wenig beigetragen. Eine interaktive Version dieser Grafik mit weiteren Detailinformationen steht auf der Website des Unternehmens zur Verfügung.
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen