Behörden legen Botnetz Dridex lahm
Es war in 27 Ländern aktiv, unter anderem auch in Deutschland, Österreich und der Schweiz. Die Behörden beziffern den Schaden in den USA und in Großbritannien auf insgesamt rund 40 Millionen Dollar. Auf Zypern wurde bereits einer der mutmaßlichen Haupttäter festgenommen.
Gemeinsam mit der britischen National Crime Agency (NCA) ist der US-Bundespolizei FBI ein wichtiger Schlag gegen das Botnetz Dridex gelungen. Zwar sind die einzelnen Bots des Netzwerks noch immer mit der namensgebenden Schadsoftware infiziert, allerdings sind sie nun nicht mehr in der Lage, mit den mutmaßlich von osteuropäischen Kriminellen betriebenen Servern zu kommunizieren. Es besteht jetzt nur noch eine Verbindung mit Servern, die von Polizeibehörden und Sicherheitsanbietern wie Dell Secure Works oder der Shadowserver Foundation kontrolliert werden.
Der Dridex-Trojaner treibt bereits seit mehreren Jahren sein Unwesen. Er hat es auf Windows-Rechner in Firmen abgesehen und verbreitet sich über Phishing-Mails mit Word-Dateien im Anhang. Schätzungen des FBI zufolge hat Dridex alleine Unternehmen in den USA rund 10 Millionen Dollar gekostet. Die National Crime Agency geht für britische Firmen von einem Schaden von etwa 30 Millionen Dollar aus.
Laut Brett Stone-Gross, Mitarbeiter bei Dell Secure Works, erbeutete Dridex Anmeldedaten, Zertifikate, Cookies und andere vertrauliche Informationen, um beispielsweise Geld auf Konten der Hacker zu überweisen. Von US-Konten des Unternehmens Penneco Oil wurden 2012 zum Beispiel 3,5 Millionen Dollar auf Konten in Russland transferiert, wie das FBI mitteilt.
Um die Betrugsaktivitäten an Banken im jeweiligen Land anzupassen und um Zugriffe von Partnern in anderen Regionen unterscheiden zu können, war das Dridex-Botnetz den Ermittlern zufolge in mindestens 13 Sub-Botnetze aufgeteilt. Manipulierte Banking-Websites fanden sich in 27 Ländern, darunter auch in Deutschland, Österreich und der Schweiz.
Einen der Hintermänner hat das FBI nun offiziell angeklagt. Er wurde demnach schon im August auf Zypern verhaftet. Derzeit warten die US-Behörden auf seine Auslieferung.
Der niederländische Sicherheitsanbieter Fox-IT will zudem eine Verbindung zwischen den Betreibern des Dridex-Botnets und einer als “Business Club” bekannten Gruppe hergestellt haben. Zu letzterer zählt angeblich Evgeniy “Slavik” Bogachev, den das FBI seit 2014 als einen Haupttäter im Kontext des Botnets Zeus GameOver sucht. Für Hinweise, die zu seiner Ergreifung führen, zahlt das FBI eine Belohnung von bis zu 3 Millionen Dollar.
An der Stilllegung von Dridex waren auch das Bundeskriminalamt und das zu Europol gehörende European Crime Centre beteiligt. Weitere Unterstützung erhielten die Ermittler vom US-CERT, Behörden in Moldawien, Spamhaus sowie abuse.ch.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.