„Ich habe nichts zu verbergen“, sagen viele. Stimmt das auch in Bezug auf das Botnetz Necurs, das nun weitgehend zerstört ist? Das hat Microsoft bekannt gemacht. Es handelte sich dabei um das größte bekannte Botnetz der Welt. Ich halte das schon für eine große Leistung. Nein, das hat der Riese nicht allein geschafft. Aber dass das überhaupt gelungen ist, ist eine wichtige Nachricht, wie ich finde. Und genau aus diesem Grund müssen wir uns mal darüber unterhalten. Denn das ist ja alles kein Einzelfall.
Necurs: Locky lässt grüßen
Necurs ist ein Botnetz, das einiges an Schadsoftware verteilt – oder verteilt hat. Am meisten Aufmerksamkeit erhielt das Netzwerk durch die weltweite Verbreitung von Locky. Dieser Schädling konnte zwar eingefangen werden. Das hielt aber Necurs als Distributor nicht auf. Locky verschlüsselte seinerzeit Benutzerdaten und forderte Lösegeld. Und die gesamte Infrastruktur ging kurz darauf schon mal offline. Kurz darauf war sie wieder aktiv und konnte nun entscheidend zerstört werden.
Locky war 2016 sogar dazu in der Lage zu erkennen, ob der Schadcode in einer virtuellen Maschine ausgeführt wurde. Und im Jahr darauf verbreitete das Necurs-Botnetz eine neue Spam-Welle, über die dann Locky in Umlauf gebracht werden konnte. Was nach Hokuspokus klingt, wurde zur echten Gefahr. Wie die Botnetze funktionieren, hat die Computerwoche aufgeschrieben. Man geht schon länger davon aus, dass über diese Netzwerke quasi Krieg geführt wird.
Was hat Microsoft nun damit zu tun?
Ja, ich weiß schon: Microsoft ist böse. Das hört man immer wieder. Aber in solchen Situationen wie dieser Necurs-Nummer fällt mir nicht viel negatives ein. Der Konzern war ja schon mal sehr erfolgreich im Bekämpfen von Botnetzen. Nun haben es die Experten in der unternehmeseigenen „Cyber Crime Unit“ gemeinsam mit Partnern in 35 Ländern geschafft, einen koordinierte Aktion zu fahren und Necurs, was sie seit 2012 beobachten, zu zerschlagen.
Dabei wurde der Algorithmus von Necurs entschlüsselt, mit dem ständig neue Domains generiert wurden. So konnten etwa 6 Millionen Domains genauestens vorhergesagt werden. Darauf folgend blockierten Registrare diese Domains, sodass diese nicht Teil von Necurs wurden. Außerdem konnte eine gerichtliche Anordnung erwirkt werden, mit der Microsoft die Kontrolle über die US-Infrastruktur von Necurs übernehmen konnte.
Wozu Necurs?
Wie bei anderen Botnetzen wurden auch bei Necurs die bekannten kriminellen Aktionen gefahren. Trojaner wurden wurden verteilt, Spam wurde versendet und all das. Einzelne infizierte Computer hatten innerhalb von wenigen Wochen einige Millionen Spam-Mails an zig Millionen Empfänger versendet. Außerdem wurde Necurs zum Schürfen von Kryptowährung verwendet. Unterm Strich kam es also zur gesamten Botnetz-Bandbreite. Zudem wurde das Netzwerk weiter vermietet.
Rein spekulativer Natur sind Aussagen, wo die Hintermänner von Necurs sitzen. Microsoft vermutet Russland, aber das ist eben nicht ganz geklärt. Erinnert sich noch jemand an den Trojaner „Gameover ZEUS„? Damals war auch Microsoft entscheidend bei der Bekämpfung dabei. Damals wurden Banken, amerikanische Behörden und Ministerien angegriffen. Diese Software soll auch zumindest zeitweise über Necurs verbreitet worden sein. Insofern, weil die USA das Ziel waren, liegt die Vermutung der Herkunft natürlich nahe.
Schutz gegen Botnetze
Die Eyeo GmbH betreibt das Portal „botfrei“. Man kann von dem Betreiber halten, was man will. Aber auf dieser Seite findet ihr schon einige Hinweise. Aber die wichtigsten Tools sind bei solchen Sachen eigentlich immer:
- Schaltet eure Köpfe ein und klickt nicht auf alles, was euch vor die Augen kommt
- Haltet eure Systeme aktuell
- Fertigt Backups eurer Daten an
- Deaktiviert Makros in Office
- Installiert Software und Apps ausschließlich aus seriösen und offiziellen Quellen
- Benutzt sichere Passwörter und setzt auf Multi-Faktor-Authentifizierung, wo es geht
Ach, kein Virenscanner? Naja, doch. Aber in den allermeisten Fällen genügt der eingebaute Virenscanner. Der Windows Defender ist beispielsweise gut und vor allem besser als die meisten Produkte der Schlangenöl-Verkäufer. Der kann aber nichts ausrichten, wenn ihr euch mit den genannten Stichpunkten so gar nicht auseinander setzt. Die Internet Security Suites übrigens auch nicht. Tut euch also einen Gefallen und seid nicht so leichtfertig mit euren Daten. Damit schützt ihr schon sehr viel. Aber was erzähle ich euch?
Jemand der sich auskennt! Liest man in den MM nix von.
„Schlangenöl-Verkäufer“
;) LG