Beebone: Europol zerschlägt Botnetz

CyberkriminalitätSicherheit
Botnet (Bild: Shutterstock / Gunnar Assmy)

Gemeinsam mit Intel und Kaspersky deaktiviert die Behörde ein Netzwerk von mindestens 12.000 infizierten Rechnern. Die Malware von Beebone ist in der Lage, Passwörter zu stehlen und Rootkits zu installieren. Seit März 2014 war das Botnet in Betrieb.

Europol hat das rund 12.000 Rechner umfassendes Botnetz Beebone lahmgelegt. Die europäische Behörde geht von noch weit mehr infizierten Rechnern aus. Die Deaktivierung des Netzwerkes erfolgte in Zusammenarbeit mit Polizeibehörden in den USA und den Niederlanden sowie den Sicherheitsfirmen Kaspersky, Intel Security und Shadowserver.

Die Leitung der Ermittlungen hatte die niederländische National High Tech Crime Unit inne. Im März 2014 entdeckte Intel Security zum ersten Mal Beebone. Die Intel-Tochter McAfee Labs identifizierte auf dem Höhepunkt des Botnetzes über 100.000 mit der Beebone-Malware infizierte Rechner in mehr als 200 Ländern.

Die Malware, die das Botnetz verwendete, heißt “W32/Worm-AAEH/Beebone”. Dies ist eine polymorphe Schadsoftware, die sich ständig verändert. “Intel Security sind mehr als 5 Millionen eindeutige AAEH-Muster bekannt” sagte Raj Samani, Chief Technology Officer von Intel Security EMEA. Der Großteil der betroffenen Rechner befinden sich Europol zufolge in den USA, Indien, Japan und Taiwan.

Logo Europol (Bild: Europol)

Durch die Beschlagnahmung der Domains, die die Malware zur Kommunikation benutzt hat, haben die Ermittler das Botnetz selbst lahmgelegt. Die Daten habe man nun an Internet Service Provider sowie die Computer Emergency Response Teams (CERT) der einzelnen Länder weitergeleitet, um die betroffenen Nutzer zu informieren.

Äußerst fortschrittliche Malware

Europol bezeichnete Beebone zwar nicht als eines der größten Botnetze, aber die verwendete Malware als sehr fortschrittlich. Demnach ist der Beebone-Wurm nicht nur in der Lage, Passwörter fürs Online-Banking zu stehlen, sondern auch Rootkits, falsche Antivirenprogramme und Erpressersoftware zu installieren. Dabei erfolgt die Verbreitung nicht nur über das Internet beziehungsweise ein lokales Netzwerk, sondern auch über externe Festplatten und CDs sowie ZIP- und RAR-Archive.

“Diese erfolgreiche Operation zeigt, wie wichtig es ist, dass internationale Strafverfolger mit der Privatwirtschaft zusammenarbeiten, um die globale Bedrohung Cybercrime zu bekämpfen”, sagte Will van Gemert, Deputy Director of Operations bei Europol. “Wir werden unsere Bemühungen fortsetzen, um Botnetze abzuschalten, und die Infrastrukturen zu stören, die Cyberkriminelle für ihre Verbrechen benutzen.”

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de