Avalanche-Botnetz: Weltweites Cybercrime-Netzwerk zerschlagen
Ermittlungsbehörden haben ein weltweit agierendes Online-Betrugsnetzwerk mit dem Namen Avalanche-Botnetz zerschlagen. Das gab die zuständige Polizeidirektion Lüneburg in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) bekannt. Offenbar steht ein umstrittener Online-Test des BSI von vor zwei Jahren im Zusammenhang mit den Ermittlungen.
Avalanche wird von den Ermittlern als eine der größten Infrastrukturen zum Betrieb von Botnets bezeichnet. Während der Ermittlungen wurden 39 Sever und mehrere Hunderttausend Domains beschlagnahmt. In Zusammenarbeit mit der Organisation Shadowservers gelang es den Ermittlern außerdem, sogenannte Sinkhole-Server aufzubauen. Diese sollen Nutzer infizierter PCs künftig vor der Infektion warnen. Rund 20 verschiedene Botnetze sollen die Avalanche-Infrastruktur genutzt haben, unter anderem, um Spam- und Phishing-Mails zu versenden und Ransomware zu verbreiten.
Avalanche als Infrastruktur
Über die Avalanche-Infrastruktur wurden zahlreiche kriminelle Aktivitäten begangen. Zunächst versendeten die Angreifer vor allem Ransomware. Dabei handelte es sich um einen Trojaner, der vorgab, dass eine erneute, kostenpflichtige Windows-Registrierung notwendig sei.
Die Bezahlung erfolgte damals noch nicht über Bitcoin, sondern über Ukash oder Paysafecard. Auch im Bereich DDoS-Erpressung und Betrug von Online-Banking soll das Netzwerk aktiv gewesen sein. Die durchschnittliche Schadenssumme soll 5.000 Euro betragen haben, insgesamt soll der Schaden bei mindestens 6 Millionen Euro liegen.
"Die Tücke einer ausgefeilten Botnetz-Infrastruktur liegt darin, dass allein das Abschalten eines einzelnen Botnetzes nicht ausreicht, um die kriminellen Angriffe zu unterbinden" , teilte der Leiter der Zentralstelle für Cybercrime der Staatsanwaltschaft Verden, Oberstaatsanwalt Frank Lange, mit. "Die Aufgaben der entdeckten und unschädlich gemachten Server werden schlagartig von den Servern der anderen Botnetze übernommen, bis ein neues weiteres Botnetz aufgebaut wird."
Double-Fast-Flux-Netzwerk
In der Tat scheinen die Täter eine ausgefeilte Infrastruktur erstellt zu haben(öffnet im neuen Fenster) . Shadowserver spricht von einer "Double Fast Flux"-Content-Delivery-Platform. Dabei operieren verschiedene Knoten im Netzwerk, die in kurzem Abstand DNS-Einträge anlegen und wieder löschen. Angriffe aus der Infrastruktur heraus werden dann über einen Proxy-Server geleitet, um eine Erkennung zu erschweren.
Außerdem werden mit Hilfe eines Domain-Generation-Algorithmus (DGA) ständig neue Domains registriert, um der Erkennung durch Antivirusprodukte zu entkommen. Komplettiert wird das Netzwerk durch mehrere Malware-Familien, im aktuellen Beispiel wurden etwa Gozy, URLzone und Teslacrypt verteilt. Weiterhin gibt es ein breites Geldwäschenetzwerk, um die kriminellen Erträge in den normalen Wirtschaftskreislauf zu bekommen.
Problem: Wie die Nutzer warnen?
Das BSI hatte im Rahmen der Amtshilfe an den Ermittlungen mitgewirkt, das sogenannte Cyber-Abwehrzentrum soll eine koordinierende Funktion eingenommen haben. Ein Mitarbeiter des BSI sagte während einer Pressekonferenz, dass man während der mehrjährigen Ermittlungen vor einem Dilemma gestanden habe. Denn bei zahlreichen Nutzern sei bereits vor langer Zeit klar gewesen, dass ihre Rechner infiziert und Nutzerdaten kompromittiert worden seien. Eine breite Warnung hätte aber möglicherweise die weiteren Ermittlungen gefährdert.
Daher entschied sich das BSI, einen Sicherheitstest einzuführen, bei dem Nutzer ihre Mailadresse eingeben konnten, um zu sehen, ob Erkenntnisse vorliegen, die auf eine Infektion hindeuten. Der Test war damals besonders in Hackerkreisen kritisiert worden, weil Nutzer dem BSI ohne ersichtlichen Grund ihre E-Mail-Adresse hinterlassen sollten.
Die Verdächtigen haben zumeist die ukrainische Staatsbürgerschaft inne. Auch in Deutschland soll ein Ukrainer im Großraum Berlin festgenommen worden sein. Insgesamt hat die Staatsanwaltschaft Verden Haftbefehle wegen Bildung einer kriminellen Vereinigung, banden- und gewerbsmäßigem Computerbetrugs und anderer Straftaten erlassen. Ermittler aus 39 Ländern waren an dem Vorgang beteiligt.