News

Französische Polizei reinigt 850.000 Computer von Schadcode

Franzosen zerschlagen professionelles Monero-Botnet. (Foto: eamesBot/Shutterstock )

Der Cyber-Gendarmerie der französischen Polizei ist es gelungen, ein weltumspannendes Botnet zu zerschlagen, dessen Betreiber die Kryptowährung Monero auf den infizierten Rechnern schürfen ließen.

Das Botnet bestand zuletzt aus rund 850.000 Rechnern, die mit der seit längerem bekannten Malware Retadup infiziert worden waren. Die Betreiber des Botnet hatten ihr Kontrollzentrum in einem Pariser Vorort. Die infizierten Rechner waren weltweit im Einsatz.

Premiere: Abschaltung der Trojaner auf den infizierten Geräten

Die Cybercrime-Einheit C3N der französischen Polizei konnte nach Informationen von France Inter dabei nicht nur in das Kontrollzentrum der Botnet-Betreiber vordringen und die Server abschalten. Es gelang ihnen unter Mithilfe des FBI sogar, einen eigenen Kontrollserver zu installieren und den Traffic des Botnetzes darauf umzuleiten. Dann übermittelten sie Code an die infizierten Rechner, der die Schadsoftware unschädlich machte.

Das Stilllegen von Botnetzen ist Polizeibehörden weltweit schon des öfteren gelungen. Mit der Entfernung der Schadsoftware von den infizierten Geräten dürfte die französische Polizei indes eine Weltpremiere gesetzt haben.

Hunderttausende Rechner mit Trojaner Retadup infiziert

Den Hinweis auf das Botnet hatte die C3N von der Sicherheitsfirma Avast erhalten. Den Experten war ein Server aufgefallen, der die Retadup-Malware in mehr als hundert Länder und an insgesamt mehrere hunderttausend Rechner verschickt hatte. Der Schwerpunkt der Infektionen konnte in Zentral- und Lateinamerika ausgemacht werden, wobei Peru und Venezuela die höchste Zahl an Schadinstallationen aufwiesen.

Praktisch alle Infektionen betrafen Computer mit Windows-Betriebssystemen, wobei über 50 Prozent der infizierten Rechner noch unter Windows 7 betrieben wurden. Geködert wurden die Computer-Nutzer mit der Möglichkeit des einfachen Geldverdienens oder dem Angebot pornografischen Materials. Teilweise verbreitete sich die Malware auch über infizierte USB-Speichermedien.

Hinweis von Sicherheitsfirma Avast führt nach Paris

Die Spuren führten die Ermittler letztlich in einen Pariser Vorort, wo die wesentlichen Server des Botnets gefunden wurden. Auch in den Vereinigten Staaten konnte eine kleinere Infrastruktur identifiziert und unschädlich gemacht werden.

Offenbar bestand die Hauptaufgabe des Botnets darin, Coins der Kryptowährung Monero zu minen. Mit Retadup wären indes noch ganz andere Angriffe möglich gewesen. Die amerikanische Infrastruktur steht auch in Verbindung mit dem Stehlen von Passwörtern und dem Aussäen von Erpressungstrojanern, was aber im Vergleich zum Mining nur marginale Umfänge angenommen haben soll.

Botnet seit 2016 aktiv, Millionen erbeutet

Das Botnet wurde nach Erkenntnissen der Ermittler wohl bereits 2016 in Betrieb genommen. Über die Jahre soll es mehrere Millionen Euro in Monero errechnet haben. Die Betreiber befinden sich laut BBC noch auf der Flucht.

Die C3N will den eigenen Kontrollserver noch so lange weiterlaufen lassen, bis mit einer hohen Wahrscheinlichkeit davon ausgegangen werden kann, dass alle infizierten Rechner einmal online gewesen sind und so den Befehl zur Abschaltung des Trojaners erhalten haben.

Passend dazu: Vorsicht, Trojaner – Welle von Fake-Bewerbungen verbreitet Malware

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung