Security: Locky- und Dridex-Botnetz ist spurlos verschwunden

Sicherheitsforscher haben einen massiven Rückgang von Infektionen der bekannten Malware-Familien Dridex und Locky beobachtet. Schuld sind offenbar Probleme beim verteilenden Botnetz. Für Locky gibt es keine neue Infrastruktur. Was mit Opfern passiert, ist derzeit offen.

9. Juni 2016 um 08:51 Uhr / Hauke Gierow

1 Kommentare News folgen (öffnet im neuen Fenster)

Schematische Darstellung einer Botnetz-Operation (Bild: Tom-b/Wikimedia Commons) — Schematische Darstellung einer Botnetz-Operation Bild: Tom-b/Wikimedia Commons / CC-BY 3.0

Die in Deutschland weit verbreitete Ransomware Locky wurde in den vergangenen Monaten vermehrt über Botnetze verteilt – jetzt ist eines der größten auf mysteriöse Art und Weise verschwunden, wie Motherboard berichtet(öffnet im neuen Fenster). Sicherheitsforscher der Firma Fireeye bestätigten, dass der Traffic über das Botnetz weitgehend zusammengebrochen sei, warum, sei noch unklar.

"Wir können nur bestätigen, dass die Dridex- und Locky-Spam-Kampagnen unserer Beobachtung nach seit dem 1. Juni aufgehört haben", schreiben sie in einem Statement bei Motherboard. Dridex ist ein bekannter Bankentrojaner, der versucht, Zahlungsinformationen von den Rechnern der Opfer zu kopieren und dann die Konten leerräumt.

Neues aus der Golem Karrierewelt (öffnet im neuen Fenster)

Workshops und Weiterbildungen: Administration von Microsoft 365? So gehts!

zum Artikel

Karriere Ratgeber: TechRiders Summit – Europas Plattform für digitale Souveränität, IT Strategy & Execution

zum Ratgeber

Seminar: IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop

zum Kurs

E-Learning: Exclusive: Masterclass Microsoft Intune - Management of Windows devices (E-Learning Paket / Bundle in English)

zum Kurs

Necurs ist nicht mehr

Der Zusammenbruch des Botnetzes Necurs, bei dem die Operationen gehostet wurden, könnte weitreichende Folgen haben. Denn mit dem Botnetz ist offenbar die gesamte Infrastruktur von Locky verschwunden. Unklar ist derzeit, ob von Locky betroffene Personen ihre Festplatte entschlüsseln können, selbst wenn sie zahlungswillig sind.

Seit dem 1. Juni seien auch keine neuen Command-and-Control-Server hinzugekommen, sagte der Sicherheitsforscher Kevin Beaumont bei Motherboard. Beaumont hatte Locky intensiv studiert und den Trojaner als "Meisterstück" bezeichnet, weil die Kampagne weltweit lief, lokalisiert wurde und über eine leistungsfähige Infrastruktur verfügte.

Unklar ist, warum genau das Botnetz derzeit inaktiv ist. Einen Hinweis könnte eine Aktion des russischen Geheimdienstes FSB geben. Dieser hat nach Berichten von Reuters am 1. Juni 50 Hacker verhaftet, die insgesamt rund 25,33 Millionen US-Dollar von russischen Banken erbeutet haben sollen. Dabei kam jedoch die Malware Lurk zum Einsatz, eine Verbindung mit dem Necurs-Botnetz lässt sich also nicht beweisen.

Wer von Locky betroffen ist, kann Dateien unter Umständen mit den Schattenkopien(öffnet im neuen Fenster) auf seiner Festplatte wiederherstellen. Dazu wird das Programm ShadowExplorer benötigt.

Zur Startseite 1 Kommentare

Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Necurs ist nicht mehr

Relevante Themen