News

Schlag gegen Cyberkriminelle: Microsoft übernimmt Necurs-Botnet

Microsofts Malware-Lab. (Foto: Microsoft)

Lesezeit: 2 Min. Gerade keine Zeit? Jetzt speichern und später lesen

Wie Microsoft bekannt gibt, ist es dem Konzern gemeinsam mit Partnern aus 35 Ländern gelungen, das Botnet Necurs außer Gefecht zu setzen. Mit einer Kombination aus technischen und rechtlichen Maßnahmen konnte eines der aktivsten Bot-Netzwerke der Welt weitgehend zerstört werden.

Der wesentliche Schlag gegen das Botnet Necurs ist dabei technischer Natur. Der Konzern konnte in Kooperation mit Sicherheitsexperten aus aller Welt den Algorithmus des Botnet knacken, mit dem Necurs laufend neue Domains generieren konnte. So gelang es Microsoft und seinen Partnern rund sechs Millionen Domains exakt vorherzusagen, die Necurs in den folgenden 25 Monaten generiert hätte.

Nix mehr verpassen: Die t3n Newsletter zu deinen Lieblingsthemen! Jetzt anmelden

Microsoft hackt den wichtigsten Botnet-Algorithmus

Nachdem es gelungen war, den Algorithmus zu knacken, konnte Microsoft die zu generierenden Domains an die nationalen Registrierungsstellen melden. Die Registrare blockierten die Domains dann in ihren Systemen, so dass sie nicht Teil des Necurs-Botnet werden konnten. Zudem gelang es dem Konzern, ein US-Bezirksgericht zu einer gerichtlichen Anordnung zu veranlassen, die es Microsoft ermöglichte, die Kontrolle über die Infrastruktur zu übernehmen, soweit sie sich auf amerikanischem Boden befunden hatte.

Damit sei das Necurs-Botnet weitestgehend am Ende, wie Microsoft in seinem Sicherheits-Blog schreibt. Ein Zugriff durch die kriminellen Akteure sei, zumindest bezogen auf wichtige Schlüsselbereiche des Botnet, nicht mehr möglich.

Dem Erfolg gingen rund acht Jahre globale Ermittlungsarbeit voraus. Schon im Jahr 2010 fiel das Necurs-Botnet, das weltweit zuletzt mehr als neun Millionen infizierte Rechner umfasste, erstmals auf. Seit 2012 begann die Microsoft Digital Crimes Unit mit Unterstützung weiterer Partner mit der Beobachtung der Aktivitäten des Botnets. Dabei konnte festgestellt werden, dass und wie es Malware verbreitet hat.

Dazu wurde Necurs verwendet

Dabei blieb es nicht. Vielmehr wurde Necurs in der Folgezeit für die gesamte Palette der Botnet-Kriminalität genutzt. Darunter fand sich die Verbreitung von Trojanern und Aktienscams. Auch das klassische Versenden von Spam-E-Mails zu gefälschten Pharma-Produkten und russischen Datingangeboten gehörte zum Portfolio. Das Ausmaß zeigt Microsoft an einem Beispiel. So hatte ein einziger beobachteter, infizierter Computer innerhalb von 58 Tagen insgesamt 3,8 Mil­lio­nen Spam-E-Mails an über 40,6 Mil­lio­nen po­ten­zielle Opfer in aller Welt versendet.

Zusätzlich setzten die Kriminellen Necurs für das Krypto-Mining, die Verteilung von Ransomware und Finanzbetrügereien ein. Eine vorhandene Funktion für die Durchführung von DDOS-Attacken (Distributed Denial of Service), bei denen gezielt angegriffene Server überlastet und damit abgeschaltet werden sollen, war laut Microsoft vorhanden, aber noch nicht aktiviert worden. Ebenso sollen die Kriminellen den Zugriff auf ihr Botnet als Botnet-to-Hire vermietet haben. Damit konnten andere Cyberkriminelle die Kapazitäten des 9-Millionen-Geräte-Netzes nach Belieben für ihre Zwecke nutzen.

Fokus auf Entfernung des Botnet von Endgeräten

Microsoft vermutet die Betreiber des Necurs-Botnets in Russland. Dazu gibt es allerdings bislang keine weiteren Details.

Aktuell arbeitet der Konzern gemeinsam mit Internet-Service-Providern weltweit daran, den betroffenen Computer-Nutzern dabei zu helfen, das Botnet von ihren Geräten zu entfernen.

Solltet ihr befürchten, dass euer Windows-Computer von Malware befallen ist, empfiehlt Microsoft euch den Einsatz des Safety Scanners.

Passend dazu: Französische Polizei reinigt 850.000 Computer von Schadcode

Meistgelesen

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

2 Kommentare
Benutzer
Benutzer

Ein Virus dass das andere Virus (Mensch) zerstört, und dabei glaube ich nicht, dass Microsoft damit zum Antibiotikum wird.

Antworten
Dieter Petereit

Ein schönes Beispiel dafür, dass nicht jeder Kommentar auch eine valide Meinung widerspiegelt.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 70 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Luca Caracciolo (Chefredakteur t3n) & das gesamte t3n-Team

Anleitung zur Deaktivierung