Botnet Avalanche zerschlagen!

Hunderttausende Rechner waren, und sind noch teilweise, mit Malware infiziert, welche vom Botnet Avalanche ausging. Sind Rechnersysteme nach wie vor infiziert, werden sie vom Internet Service Provider kontaktiert. Festnahmen gab es bereits!


Hinter dem Botnet Avalanche verbirgt sich eine gesamte Botnet Struktur!

Gekaperte Systeme, Rechner und Server wurden für die Verteilung Ransomware missbraucht. Aber auch die Versendung von Phishing und Spam E-Mails gehörte zum Tätigkeitsfeld der Botnet Infrastruktur. Sage und schreibe 20 Botnetze haben die Infrastruktur von Avalanche genutzt1.

Infizierte Systeme sind jedoch nicht auf einen Schlag bereinigt. Mithilfe von Sinkhole-Servern wurde die IP-Adresse der befallenen Systeme ermittelt. Diese IP-Adressen werden nun den Internet Service Providern zur Verfügung gestellt. Wer infiziert ist, wird in naher Zukunft also Bescheid bekommen2!




Welche Geräte sind vom Botnet Avalanche betroffen?

Die Botnet Infrastruktur bestand aus ca. 50.000 Geräten. Beliebte Opfer waren Windows Systeme und Geräte die auf Android laufen. Das BSI schließt eine Infizierung von macOS, iOS Linux und anderen Betriebssystemen aber nicht aus. Verwunderlich ist, dass Geräte aus dem Internet of Things nicht betroffen sind.

Insgesamt summieren sich die Anzeigen auf 1.336 Taten (1.337 Taten wären auch etwas ironisch gewesen). Der Schaden beläuft sich auf 6.000.000 €3. Die Ermittlungsarbeit zur Aushebelung des Bonet Avalanche wurde unter 39 europäischen und außereuropäischen Sicherheitsbehörden abgewickelt. Eine beachtliche Zahl. Verwunderlich, dass da nicht durchgesickert oder abgefangen worden ist! Die vier Jahre Ermittlungsarbeit haben sich für alle Beteiligten gelohnt4.

Botnet Avalanche wurde ausgehebelt – meine Meinung!

Eine ganze Botnet Infrastruktur lahm zu legen ist ein besonderer Schlag gegen die Kriminellen. In letzter Zeit waren es ja eher schlechte Nachrichten, die die Medienlandschaft dominiert haben. Gut, dass der Clou aufging. Ein kleiner Beigeschmack hat die bestehende Infizierung der Systeme.

Den Betreibern des Botnetzes wäre es also nach wie vor, theoretisch möglich, über command & control Server Kontakt aufzunehmen. Jetzt sind die Internet Service Provider gefragt, um schnell ihre Kunden zu informieren!

Beim Befall mit Ransomware sind schnelle, richtige Entscheidungen nötig. Vor allem Personalabteilungen stehen hier im Fokus. In der Regel ist der Windows Defender zwar ausreichend, aber Kriminelle lassen sich immer neue Methoden einfallen, die Sicherheitsmaßnahmen zu umgehen.

Weitere Informationen und Quellen

[1] ‚Avalanche‘ Network dismantled in international cyber operation (europol)
[2]
 BSI ermöglicht Zerschlagung der Botnetz-Infrastruktur Avalanche (bsi.bund.de)
[3] Deutsche Behörden ermöglichen Botnetz-Zerschlagung, überwiegend Windows und Android betroffen (caschys Blog)


Schreibe einen Kommentar