PC & Internet Ermittlern gelingt Schlag gegen Botnet-Schwergewicht Avalanche

Über die Botnet-Infrastruktur Avalanche wurden etliche Schädlinge verteilt: vom Online-Banking-Trojaner bis zur Ransomware. Im Rahmen internationaler Ermittlungen wurden nun Haftbefehle gegen 16 Betreiber erteilt und Teile der Infrastruktur abgeschaltet.

Am gestrigen Mittwoch ist einem internationalen Ermittler-Team ein wichtiger Schlag gegen die organisierte Cyber-Kriminalität gelungen: Es kam zu Verhaftungen mehrerer Betreiber der Botnet-Gang Avalanche, die eine der größten Botnet-Infrastrukturen weltweit betreibt. Die Ermittler haben hunderttausende Domains und 39 Server beschlagnahmt, die im Zusammenhang mit dem Botnet zum Einsatz kamen.

Nach Angaben der an den Ermittlungen beteiligten Staatsanwaltschaft Verden ist der Erfolg das Resultat aus einer mehr als vier Jahre andauernden, grenzübergreifenden Ermittlungsarbeit, an der auch die Zentralinspektion Lünebürg, das FBI und weitere US-Behörden sowie Sicherheitsbehörden von 39 Staaten beteiligt waren. Die Ermittler konnten 16 Mitglieder der Avalanche-Führungsebene aus zehn Ländern identifizieren. Gegen sieben davon hat das Amtsgericht Verden Haftbefehl wegen verschiedener Tatbestände wie der Bildung einer kriminellen Vereinigung erlassen.

50.000 Zombie Rechner – allein in Deutschland
Zum Zeitpunkt des Zugriff sollen allein in Deutschland über 50.000 Rechner unter der Kontrolle der Gang gestanden haben. Den Tätern ging es vor allem um Geld: Laut Staatsanwaltschaft sollen sie Online-Banking-Nutzer durchschnittlich um mehr als 5000 Euro erleichtert haben. Der Staatsanwaltschaft liegen Anzeigen über 1336 Taten vor mit einer Schadenssumme von insgesamt etwa sechs Millionen Euro.

Die Täter waren mindestens seit 2009 aktiv und nutzten ihre Botnet-Infrastruktur zum Versand von Phishing- und Virenmails. Pro Woche sollen sie über eine Million Mails verschickt haben. Im Jahr 2010 war Avalanche für zwei Drittel aller Phishing-Angriffe verantwortlich. Die Ermittlungen begannen vor rund vier Jahren, nachdem die Online-Ganoven begonnen hatten, massenhaft Krypto-Trojaner zu verbreiten. Derzeit hat sich Avalance vor allem auf Online-Banking-Betrug spezialisiert, die Verbreitung von Erpressungs-Trojanern, Spam- und Phishing-Mails geht aber weiter.

Die folgenden Schädlinge wurden über Avalanche verteilt:

• Andromeda/Gamarue
• Bolek
• Citadel
• Corebot
• Dofoil/Smokeloader
• Gozi2
• KINS/VMZeus
• Marcher
• Matsnu
• Nymaim
• Pandabanker
• Ranbyus
• Rovnix
• Smart App
• TeslaCrypt
• Tiny Banker/Tinba
• Trusteer App
• URLzone/Bebloh
• Vawtrak
• Xswkit

4,5 Millionen Warnmeldungen an Kunden deutscher Provider

Du musst angemeldet sein, um Bilder zu sehen.

Die Rolle des BSI bei den Ermittlungen gegen die Avalanche-Gang

Du musst angemeldet sein, um Bilder zu sehen.

Bild: BSI​

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützte die Ermittlungen, indem es die Infrastruktur und die eingesetzte Malware analysierte. Dabei zeigte sich, dass rund zwanzig Botnets die Avalanche-Infrastruktur nutzen. Auf Grundlage der BSI-Informationen haben deutsche Provider seit 2014 über 4,5 Millionen Warnmeldungen über infizierte Systeme an die betroffenen Internetnutzer geschickt.

Das BSI setzt Sinkhole-Server ein, zu denen die Verbindungsanfragen der infizierten Rechner umgeleitet werden. So können die Opfer identifiziert und gewarnt werden. Um die Reinigung der versuchten Systeme müssen sich die Opfer jedoch selbst kümmern. Betroffen sind laut BSI vor allem Windows-Rechner und Android-Geräte, es könne jedoch nicht ausgeschlossen werden, dass auch Systeme mit iOS, Windows Phone, OS X oder Linux infiziert wurden. Das BSI hat eine umfangreiche FAQ zum Thema Avalanche zusammengestellt, in der unter anderem Betroffene erfahren, welche Auswirkungen die Infektion hat und wie die nächsten Schritte zur Absicherung aussehen sollten.

Quelle: heise

 

[rooperde]

Avalanche Botnetz zerschlagen - Über 50.000 Opfer-Computer befreit

Die Staatsanwaltschaft Verden hat heute die Zerschlagung des weltweit größten bekannten Botnetz namens Avalanche bekanntgegeben. Mehr als 20 Botnetze, jeweils spezialisiert auf Spam- und Phishing-E-Mails, Ransomware und Banking-Trojaner gehörten zum Netzwerk.

Du musst angemeldet sein, um Bilder zu sehen.

Das international tätige Netzwerk konnte nun nach rund vier Jahren intensiver Fahndung weltweit aufgedeckt und zerschlagen werden. Die Staatsanwaltschaft Verden koordinierte den Schlag gegen die Cyberkriminellen zusammen mit der Polizei Lüneburg, Europol, dem FBI und anderen Behörden in rund 40 weiteren Ländern. Die Aktion gegen Avalanche verlief parallel in zehn Ländern weltweit. Dabei wurden Sinkhole-Server eingesetzt, um die Strukturen des Netzwerks aufzudecken. Die Verdächtigen kommen aus diesen zehn Ländern und können nur in einzelnen Fällen aufgrund fehlender Auslieferungsabkommen in Deutschland vor Gericht gestellt werden, heißt es.

Vorsichtige Schätzung: Sechs Millionen Euro Schaden

Nach dem derzeitigen Ermittlungsstand war das Botnetz seit 2009 aktiv. Es entstand nach ersten Angaben ein Schaden von über sechs Millionen Euro - wobei die Staatsanwaltschaft davon ausgeht, das sowohl der finanzielle Schaden von einzelnen Bürgern als auch der gesamtwirtschaftliche Schaden diese Summe noch deutlich anwachsen lassen wird, sobald man mehr Kontakte zu den Opfern hat.

In über 1.300 Einzelfällen wird bereits ermittelt. Zumeist handelt es sich um Schäden durch den Betrug mit Onlinebanking, einzelnen Nutzer sollen so um durchschnittlich rund 5.000 Euro geschädigt worden sein. Zudem sollen pro Woche mehr als eine Million Spammails über Avalanche versendet worden sein.

Hunderttausende Domains beschlagnahmt

Mit der Zerschlagung ging die Beschlagnahmung von 39 Servern und mehreren hunderttausend Domains einher. Damit konnten den Tatverdächtigen allein in Deutschland die Kontrolle über mehr als 50.000 Opfer-Computer entzogen werden. Es wurden sieben Haftbefehle erlassen.

Auf die jahrelange Ermittlungsarbeit folgt nun vor allem Aufklärung. Die Staatsanwaltschaft Verden hat heute bekannt gegeben, wie man nun im Einzelnen Betroffenen helfen wird und wie die bei vielen noch immer unbemerkt in das Bot-Netz eingeholten PC nun wieder "befreit" werden.

Windows und Android betroffen

"Nach aktuellem Kenntnisstand des BSI sind überwiegend Windows-Systeme und Android-Smartphones Teil der jeweiligen Botnetze gewesen", erklärte die Staatsanwaltschaft heute. "Dennoch kann eine Infektion bei Smartphones mit Apple iOS, Microsoft Windows Phone oder Betriebssystemen wie Apples OS X oder Linux nicht ausgeschlossen werden. Ebenso sind nach aktuellem Kenntnisstand keine Geräte des Internets der Dinge (Internet of Things, IoT) wie beispielsweise Webcams, Drucker oder TV-Empfänger Teil dieser Botnetze."

"Die Tücke einer ausgefeilten Botnetz-Infrastruktur liegt darin, dass allein das Abschalten eines einzelnen Botnetzes nicht ausreicht, um die kriminellen Angriffe zu unterbinden", erklärte Oberstaatsanwalt Frank Lange, der als Leiter der Zentralstelle für Cybercrime der Staatsanwaltschaft Verden die Pressekonferenz heute begleitete. "Die Aufgaben der entdeckten und unschädlich gemachten Server werden schlagartig von den Servern der anderen Botnetze übernommen, bis ein neues weiteres Botnetz aufgebaut wird".

So geht es für Betroffene weiter

Das BSI hat für Bürger nun eine weitreichende FAQ zusammen gestellt, die über Botnetze informiert und weitere Schritte nach der Zerschlagung von Avalanche erläutert. Dazu gehört zum Beispiel, dass Nutzer nun ihre Computer selbst auf Infektionen überprüfen müssen, um etwaige Schadsoftware entfernen zu können. Laut BSI werden Betroffene, die durch die Aktion als Teil des Netzwerks erkannt wurden, aber auch von den Providern entsprechend informiert.

Quelle: Winfuture​

 

[josef.13]

Cybercrime: Ermittlern gelingt Schlag gegen weltweites Cybercrime-Netzwerk

Nach über vier Jahren Ermittlungsarbeit von Spezialisten in 41 Staaten ist den Sicherheitsbehörden am Mittwoch (30.11.2016) ein Schlag gegen Cyberkriminelle gelungen. Sie deckten die weltweit größte Infrastruktur zum Betrieb sogenannter Botnetze auf. Es wurden Haftbefehle gegen 16 Betreiber der Botnet-Gang „Avalanche“ erteilt und Teile der Infrastruktur abgeschaltet.

Die Staatsanwaltschaft Verden und die Polizeidirektion Lüneburg haben mit Hilfe des Bundesamtes für Sicherheit in der Informationstechnik (BSI) eine Hackerbande ausgehoben, gegen die bereits seit dem Jahr 2009 vergebens ermittelt wurde. Der Erfolg ist das Resultat einer mehr als vier Jahre andauernden, grenzübergreifenden Ermittlungsarbeit der Zentralinspektion Lüneburg, Europol, des US-Justizministeriums, der US-Bundespolizei FBI und weiterer US-Behörden sowie Sicherheitsorganen von 39 Staaten. Im Zuge der Zerschlagung des Netzwerks kam es zeitgleich zu Durchsuchungen und Beschlagnahmungen in zehn Ländern.

Die Ermittler konnten 16 Mitglieder der Avalanche-Führungsebene identifizieren. Gegen sieben davon hat das Amtsgericht Verden Haftbefehl wegen verschiedener Tatbestände wie der Bildung einer kriminellen Vereinigung erlassen. In zehn Ländern gab es zeitgleich Durchsuchungen und Festnahmen. Die Ermittler beschlagnahmten 39 Server und mehrere Hunderttausend Domains. Auf Basis der vorliegenden Anzeigen wird die Schadenssumme derzeit auf rund sechs Millionen Euro aus 1336 Taten beziffert. Der tatsächliche Schaden dürfe auch in Deutschland weit höher liegen, hieß es. „Avalanche“ agiert wie jedes Botnetz wie eine Hydra: Rund zwanzig verschiedene Typen schädlicher Software wurden verwendet, sagte Lutz Gaebel, Sprecher der Staatsanwaltschaft Verden.

Es sei wie der Kampf gegen eine elektronische Hydra gewesen. Die meisten infizierten Rechner stünden in Russland und den USA, am drittstärksten sei Deutschland betroffen. „Die Tücke einer ausgefeilten Botnetz-Infrastruktur liegt darin, dass allein das Abschalten eines einzelnen Botnetzes nicht ausreicht, um die kriminellen Angriffe zu unterbinden“, teilte der Leiter der Zentralstelle für Cybercrime der Staatsanwaltschaft Verden, Oberstaatsanwalt Frank Lange, mit. „Die Aufgaben der entdeckten und unschädlich gemachten Server werden schlagartig von Servern der anderen Botnetze übernommen, bis ein neues weiteres Botnetz aufgebaut wird.“, erklärte er weiter.

Spoiler

Avalanche (franz. und engl. für „Lawine“) diente als Grundlage einer umfangreichen weltweiten Infrastruktur aus gehackten Computern, mittels derer die Hacker diverse Onlineverbrechen, wie Phishing-Attacken, Spam oder Online-Betrug begehen konnten.

Es wurde bekannt, dass allein schon 50.000 Rechner von deutschen Onlinenutzern, unfreiwillig und von ihren Besitzern unerkannt, Teil der Infrastruktur aus gehackten Computern sind, die die Basis bildeten für die kriminellen Absichten der Täter. Mittels Steuersoftware, die die Hacker per Phishing-Mail oder über die Infektion von Webseiten auf den Rechnern der Opfer installierten, wurden die so gehackten Rechner Teil eines Netzwerkes. Die Verbrecher hatten diese dann unter der Kontrolle ihrer Steuerserver und damit die freie Auswahl.

Teilweise nutzten die Kriminellen die Rechner zum Versenden weiterer E-Mails für die Verbreiten ihrer Schadsoftware zur Erweiterung ihrer Netzwerke. Bereits im Jahr 2010 war Avalanche für zwei Drittel aller Phishing-Angriffe verantwortlich. Pro Woche sollen sie so über eine Million Mails verschickt haben. Zunächst versendeten die Angreifer vor allem Ransomware. Dabei handelte es sich um einen Trojaner, der vorgab, dass eine erneute, kostenpflichtige Windows-Registrierung notwendig sei. Ferner konnten sie die Computer der Opfer mit Erpressungssoftware infizieren, um die Betroffenen von ihren Computern auszusperren und Lösegeld zu verlangen.

Nicht zuletzt identifizierten die Hacker Onlinebankingkunden, fischten deren Kontodaten ab, manipulierten die Anzeige von Kontodaten im Browser und räumten das Konto nun völlig unentdeckt leer. Laut Staatsanwaltschaft sollen sie allein Online-Banking-Nutzer durchschnittlich um mehr als 5000 Euro erleichtert haben. Der Staatsanwaltschaft liegen insgesamt Anzeigen über 1336 Taten vor mit einer Schadenssumme von etwa sechs Millionen Euro. Welche Varianten von Schadsoftware die Hacker nutzten, listet das BSI hier auf.

Bereits im Jahr 2008 war die Avalanche-Gruppe erstmals aufgefallen, als sie in großem Maße Phishing-Mails verschickten und gerade dabei war, eines der ersten größeren Botnetze aufbauten. Es begann nun ein Wettlauf zwischen Sicherheitsforschern und Hackern. Die Forscher konzentrierten sich darauf, die Internetdomains der Kontrollserver von Avalanche zu identifizieren und aus dem Netz zu nehmen. Im Jahre 2012 entdeckten dann Sicherheitsforscher von Symantec, dass eine Erpresser-Schadsoftware namens Trojan.Ransomlock.P sowie ein Trojaner zum Onlinebankingbetrug namens Trojan.Bebloh dieselben Steuerserver nutzten.

Darin erkannten sie einen ersten Ansatz, die Täter hinter der Software zu fangen. Die Bebloh-Software war auf deutschsprachige Internetnutzer zugeschnitten und hatte auch die Aufmerksamkeit der Staatsanwaltschaft Verden geweckt, die als Schwerpunkt-Staatsanwaltschaft im Bereich Onlinekriminalität ermittelt. Gemeinsam mit Symantec, dem BSI sowie in Kooperation mit dem FBI analysierten die Ermittler nun die Hackerinfrastruktur.

Sie fanden heraus, das insgesamt ca. 20 verschiedene Malwarevarianten über die Kontrollserver der Täter gesteuert wurden. Die Hacker ihrerseits mieteten über Dienstleister in Osteuropa und Asien eine Domain nach der anderen, um der Verfolgung zu entgehen und die Kotrolle über ihre Netzwerke zu erhalten. Dieses Katz-und-Maus-Spiel half den Opfern jedoch nur bedingt, denn ihre Rechner blieben zumeist weiter infiziert und damit Teil der Hackerinfrastruktur.

Fazit:

Analysen haben ergeben, dass rund 20 verschiedene Botnetze diese Infrastruktur nutzten. Die Zerschlagung der Infrastruktur wird vom BSI mit dem nationalen Cyber-Abwehrzentrum koordiniert. Aktuell sorgt man speziell dafür, dass keine Nachfolgeorganisation der Hacker erneut Kontrolle über die Rechner der Opfer erlangt. Erste Vorraussetzung dafür ist die sichere Identifikation aller Computer, die Teil von Avalanche waren. Das BSI setzt für diesen Zweck sogenannte Sinkhole-Server ein.

Diese übernehmen die Rolle der im Rahmen der Ermittlungen abgeschalteten Steuerserver des Botnetzes und fangen sämtliche Kommunikationsversuche ab, die die Schadsoftware auf den gehackten Rechnern auf der Suche nach ihren abgeschalteten Steuerservern ins Netz sendet. Das stellt einerseits sicher, dass die noch nicht verhafteten Kriminellen der Avalanche-Bande mittels neu aufgesetzter Steuerserver nicht erneut Kontrolle über ihr Botnetz erlangen, und liefert dem BSI gleichzeitig eine Liste aller IP-Adressen der am Botnetz beteiligten Computer.

Diese IP-Adressen gibt das BSI nun an die Internetprovider der Opfer weiter. Die Provider identifizieren nun anhand der Adressen, welche ihrer Kunden gehackt wurden und warnen diese per Anschreiben. Die Kundendaten bleiben damit beim Provider, das BSI und die Ermittler erhalten keinen Einblick. Wer nun Post von seinem Provider bekommt, sollte diese ernst nehmen und seinen Rechner mit einem aktuellen Virenscanner auf Schadsoftware scannen – am besten von einem USB-Stick aus, der unabhängig vom infizierten Betriebssystem ist. Auf einer Frage-und-Antwort-Seite liefert das BSI eine Anleitung mit empfohlenen Virenscannern gleich mit und gibt zu allen wichtigen Aspekten der Avalanche-Botnetzinfrastruktur Auskunft.

Als erste wichtige Schritte rät das BSI: „Betroffene sollten ihre Geräte auf eine Infektion mit Schadprogrammen überprüfen und Sicherheitslücken schließen. Die Schadprogramme auf den betroffen Systemen wurden durch die Zerschlagung der Botnetzinfrastruktur nicht gelöscht. Es kann daher nicht ausgeschlossen werden, dass die Täter zu einem späteren Zeitpunkt wieder Kontrolle über die jeweiligen Botnetze erhalten. Betroffene sollten daher möglichst bald handeln. Auch für Nutzer, die kein Schreiben ihres Providers erhalten, empfiehlt sich dieses Vorgehen.“

Nach aktuellem Kenntnisstand des BSI seien überwiegend Windows-Systeme und Android-Smartphones Teil der jeweiligen Botnetze gewesen. Dennoch könne eine Infektion bei Smartphones mit Apples iOS, Microsofts Windows Phone oder Betriebssystemen wie Apples OS X oder Linux nicht ausgeschlossen werden. Geräte des Internets der Dinge (Internet of Things, IoT) wie beispielsweise Webcams, Drucker oder TV-Empfänger seien nach aktuellem Kenntnisstand nicht Teil dieser Botnetze.

Quelle: tarnkappe