5. Dezember 2016 - Cybercrime-Infrastrukturen

Avalanche: Weltweites Botnetz zerschlagen

Eine der weltweit größten Botnetz-Infrastrukturen, bekannt unter dem Namen Avalanche, wurde enttarnt und deaktiviert. Damit ist eines der führenden Netzwerke für die Verbreitung von Spam und Malware außer Betrieb. Was müssen Nutzer nun tun?

Avalanche: Riesiges Botnetz abgeschaltet Mit Avalanche – übersetzt „Lawine“ – wurde eines der weltweit größten Bot-Netzwerke abgeschaltet (Bild: boggy22 / iStock / Thinkstock)

Innerhalb des Avalanche-Botnetzes konnten insgesamt 20 verschiedene Botnetze identifiziert werden. Ziel der international agierenden Täter war die Verbreitung von Spam- und Phishing-E-Mails sowie von Ransomware und Banking-Trojanern, um auf Konto- und Transaktionsdaten sowie auf Passwörter zuzugreifen. Mit der Abschaltung der Command-and-Control-Server konnte das Botnetz stillgelegt werden.

Die Staatsanwaltschaft Verden hatte in Zusammenarbeit mit internationalen Partnern und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) die Aktion durchgeführt. Seitens des BSI hat das Nationale Cyber-Abwehrzentrum die koordinierende Funktion übernommen.

Avalanche seit sieben Jahren aktiv

Avalanche war seit mindestens 2009 aktiv. Allein in Deutschland wurden mehr als 50.000 Computer kontrolliert und ausspioniert. Pro Woche sollen Angreifer über Avalanche mehr als eine Million Spam-Mails mit Schäden verursachenden Anhängen oder Links versandt haben: Durch Öffnen des Anhangs oder Anklicken des Links wurde das betroffene Computer-System infiziert und Teil des Botnetzes.

Betroffen sind laut BSI vor allem Systeme mit dem Betriebssystemen Windows und Android. Es sei allerdings nicht auszuschließen, dass auch Systeme mit iOS, Windows Phone, OS X oder Linux infiziert wurden.

Informationen für Betroffene

Im Rahmen dieser Zerschlagung werden jetzt sogenannte Sinkhole-Server eingesetzt. Über diese Server lassen sich die IP-Adressen identifizieren, unter denen sich Geräte finden, die mit Schadsoftware befallen sind.

Informationen zu identifizierten Infektionen unter deutschen IP-Adressen werden den jeweils zuständigen Internet-Providern zur Verfügung gestellt. Sie können so ihre betroffenen Kunden schriftlich über die Infektion informieren.

Informationen zu betroffenen ausländischen IP-Adressen leitet CERT-Bund (CERT = Computer Emergency Response Team) an die jeweils zuständigen nationalen CERTs in über 80 Ländern weltweit weiter, damit auch dort betroffene Nutzer informiert werden können.

Nacharbeiten nötig

Das BSI weist darauf hin, dass die Zerschlagung der Botnetz-Infrastruktur nicht zu einer automatischen Bereinigung der infizierten Nutzersysteme führt. Zur Unterstützung von Anwendern hat das BSI daher eine umfangreiche Liste an Antworten auf häufig gestellte Fragen veröffentlicht.

fgo

Bleiben Sie in Sachen Datenschutz und Datensicherheit auf dem Laufenden!
Melden Sie sich einfach für unsere kostenlosen Datenschutz-Newsletter an.
Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln