Botnetz Dridex weicht nach Polizeiaktion auf neue Länder aus

CyberkriminalitätSicherheit
Botnetz Warnschild (Bild: unbekannt)

Die Zahl der Dridex-Infektionen ist nach der Aktion im Oktober zwar um 24 Prozent gesunken, die Angreifer haben es aber zunehmend auf Nutzer in Deutschland, Frankreich und Großbritannien abgesehen. Trend Micro zufolge verspricht nur die Inhaftierung der Verantwortlichen einen langfristigen Erfolg.

Trend Micro hat darauf hingewiesen, dass die von internationalen Sicherheitsbehörden im Oktober durchgeführten Polizeiaktionen gegen das Botnetz Dridex nur teilweise zu dessen Abschaltung geführt haben. Zwar sei das Botnet durch das Konfiszieren von Servern angeschlagen worden, die gleichnamige Schadsoftware sei deshalb jedoch “noch lange nicht tot”.

Eine Auswertung der Dridex-Infektionen in den zwei Wochen vor und nach der Abschaltung der Server habe ergeben, dass die Zahl der betroffenen Anwender um 24 Prozent zurückgegangen sei, wie Trend Micro weiter ausführt. Überdies sei der Anteil der US-Nutzer von 29,53 Prozent auf 13,64 Prozent zurückgegangen.

Frankreich führte mit 25,55 Prozent zuletzt die Rangliste der Opfer an, gefolgt von Großbritannien (18,5 Prozent) und den Vereinigten Staaten. Deutschland, das vor der Polizeiaktion nicht in den Top Ten vertreten war, liegt inzwischen auf dem sechsten Platz, hinter Australien und Belgien sowie vor den Philippinen, Italien, Indien und Spanien.

Trend Micro zufolge sind noch Kommandoserver aktiv, die sich außerhalb der Reichweite der Strafverfolger befinden, oder die die Ermittler noch nicht ausgemacht haben. Überdies sei mit dem Systemadministrator Andrey Ghinkul nur ein Mitglied der Dridex-Gruppe verhaftet worden. Mittlerweile seien sogar weitere Varianten der Schadsoftware in Umlauf gebracht worden, die neue Kommandoserver verwendeten.

Dridex Verbreitung (Grafik: Trend Micro)
Aktuelle Dridex-Verbreitung (Bild: Trend Micro)

Dridex soll besonders widerstandsfähig sein, da es als Botnet as a Service (BaaS) entwickelt wurde. Es setzt sich aus vielen einzelnen Botnetzen mit eigenen Konfigurationsdateien zusammen. Eine Peer-to-Peer-Architektur, wie sie auch “Gameover Zeus” nutzte, helfe den Kriminellen zudem, ihre Befehlsserver sowie deren Aktivitäten zu verbergen.

“Aktionen wie diese sind effektiv, um die Aktivitäten von Cybercrime-Operationen kurzfristig zu stören, aber langfristiger Erfolg ist nicht immer garantiert”, schreibt Trend Micro. “Sie haben zur Folge, dass die ineffektivsten Bedrohungen verschwinden und Cyberkriminelle aus ihren Fehlern lernen können. Um Cyberverbrechen wirklich aufzuhalten, sind Verhaftungen notwendig.” Die Erkenntnis ist allerdings nicht neu. Bereits 2012 hatten Experten darauf hingewiesen, dasss alleine die Abschaltung der Server ein Botnetz noch nicht in die Knie zwingt – und das mit mehreren Beispielen aus den Vorjahren belegt. Im Mittelpunkt ihrer Untersuchung stand damals allerdings das gesamte Spam-Aufkommen. Und das stieg direkt nach Abschaltung eines Botnetzes teilweise sogar noch einmal an.

Neben dem FBI und der britischen National Crime Agency waren an der Aktion gegen Dridex auch das Bundeskriminalamt sowie das zu Europol zählende European Crime Centre beteiligt. Die Ermittler erhielten Unterstützung von Dell Secure Works, Spamhaus, abuse.ch und dem US-Cert.

Dridex entwendet laut Brett Stone-Gross, Mitarbeiter von Dell Secure Works, Anmeldeinformationen, Zertifikate, Cookies und andere vertrauliche Daten, um zum Beispiel Geld auf Konten der Kriminellen zu überweisen. Von US-Konten von Penneco Oil wurden 2012 beispielsweise 3,5 Millionen Dollar auf Konten in Russland transferiert, wie das FBI mitgeteilt hat.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen