Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Qbot-Botnet: Kriminelle erbeuten Daten von 500.000 Online-Bankkonten

Von

Passwort auf einem Laptop (Symbolbild): Alte PC im Visier der Kriminellen Zur Großansicht
DPA

Passwort auf einem Laptop (Symbolbild): Alte PC im Visier der Kriminellen

Der Raubzug war professionell organisiert: Online-Kriminelle aus dem russischen Sprachraum haben Hunderttausende Computer mit Malware infiziert, Zugangsdaten von Bankkonten abgefischt. Besonders betroffen sind alte Windows-Versionen.

Eine Gruppe Krimineller hat im Rahmen eines großangelegten Angriffs Hunderttausende Rechner mit Schadsoftware infiziert, um an die Kontozugangsdaten der Anwender zu gelangen. Einem Bericht der Online-Sicherheitsfirma Proofpoint zufolge hat die russischsprachige Gruppierung primär Systeme und Onlinebanking-Konten in den USA angegriffen. Allerdings seien auch europäische Nutzer betroffen.

Indem sie Schadsoftware auf verwundbare Rechner einschleusten bekamen die Angreifer Zugriff auf rund eine halbe Millionen Computer, die sie zum sogenannte Qbot-Botnet zusammenschalteten. Im Rahmen ihrer Aktion sei es ihnen gelungen, 800.000 Online-Banking-Transaktionen auszuspähen. Die Mehrzahl davon habe man Konten bei den fünf größten US-Banken zuordnen können.

Für ihren Angriff nutzen die Kriminellen dem Bericht zufolge ausgesprochen professionelle Techniken. So schleusten sie zunächst eine Malware auf ansonsten harmlosen Webseiten ein. Um einer Entdeckung vorzubeugen und Schutzmaßnahmen, etwa durch Antivirensoftware, zu umgehen, lockten sie ihre Opfer zunächst beispielsweise mit Links in E-Mails auf scheinbar harmlose Webseiten.

Angriffsziel Windows XP

Auf diesen Webseiten platzierten sie ein sogenanntes Traffic Distribution System. Diese Software überprüfte den Rechner, der die Seite aufgerufen hatte, nach verschiedenen Kriterien. Unter anderem versuchte sie herauszufinden, ob der Computer womöglich einer Sicherheitsfirma oder einem Sicherheitsforscher zuzuordnen war, was zu einem Abbruch des Angriffs geführt hätte. Tatsächlich wurden nur Computer attackiert, die bestimmten Internet-Adressbereichen und Regionen zugeordnet werden konnten.

Der eigentliche Angriff wurde zudem nur durchgeführt, wenn das Traffic Distribution System einen verwundbaren Rechner erkannte. Die Angreifer suchten dabei offensichtlich konkret nach Rechnern, auf denen ältere Windows-Versionen installiert waren. Laut Proofpoint lief auf 52 Prozent der infizierten PC das veraltete Windows XP, für das Microsoft den Support im April 2014 eingestellt hat. Windows 7 war mit 39 Prozent der infizierten Systeme das zweitgrößte Angriffsziel, auf Windows Vista entfielen sieben Prozent.

Die Opferrechner wurden an Kriminelle vermietet

Wurde ein Computer von den automatisierten Angriffssystemen identifiziert, haben die Kriminellen über Sicherheitslücken im Internet Explorer oder anderen Web-Techniken wie Java, Flash und PDF einen sogenannten Dropper auf dem Rechner installiert. Dieser Dropper wiederum lud dann weitere Schadsoftware nach.

Die Angreifer beließen es laut Proofpoint allerdings nicht dabei, ihren Opfer die Zugangsdaten zu ihren Bankkonten abzunehmen. Zusätzlich sollen sie das Botnet, das sie aus den gekaperten Maschinen zusammengeschaltet hatten, an anderen Kriminelle vermietet haben. Diese hätten es über Spezialsoftware beispielsweise nutzen können, um über eine Art private Cloud verschlüsselte Nachrichten und gestohlene Daten untereinander zu verschicken.

Immer an Updates denken

Über die finanzielle Ausbeute der Kriminellen kann Proofpoint keine Angaben machen, schätzt aber, dass der Angriff mehrere Millionen Dollar eingebracht haben könnte. Als Schutz vor derartigen Angriffen empfehlen die Sicherheitsexperten einmal mehr, man solle regelmäßig die neuesten Sicherheits-Updates und Patches installieren, um potenzielle Sicherheitslücken frühzeitig abzudichten.

Vor allem aber raten sie Nutzern von Windows XP, schnellstmöglich auf ein Betriebssystem umzusteigen, das von seinem Hersteller noch unterstützt und mit Updates versorgt wird.

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 7 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Xp
Layer_8 07.10.2014
Ich denke, XP ist noch OK, wenn man keine sensiblen Daten übermitteln will. Wenn man dies doch tut, ist es allerdings zumindest grob fahrlässig. Ich hab noch einen XP-Rechner. Zum spielen und zum surfen für Gäste, mehr aber nicht. Und bei Win7 gibts immer noch regelmäßige Sicherheitsupdates. Diese Option scheint bei den betroffenen Rechnern abgestellt gewesen zu sein. Und Java kann man abstellen, wenn man es nicht braucht.
2. Internet Banking...
fatherted98 07.10.2014
...ich mache das so: Festplatte rausgeschmissen. Linux Betriebssystem auf ISO CD ROM gebrannt. Ausreichender Arbeitsspeicher im PC. Wenn der PC ausgeschaltet wird sind alle Daten weg...im Arbeitsspeicher kann sich nix festsetzen wenn der Strom weg ist. Auf die CD kann nix drauf. Zum Internetbanking immer nur auf die Bankseite...sonst kein surfen...und mTans auf eine Handy das nur zu diesem Empfang dient...kein surfen oder so was. Meiner Meinung nach ziemlich sicher. Wenn man Passwort und Kontodaten natürlich irgendjemandem schickt....oder die Bank selbst gehackt wird...tja...
3. Quatsch mit Soße
quark@mailinator.com 07.10.2014
Es ist doch wirklich eine Frechheit, wie hier WinXP zum Schuldigen gemacht werden soll. Es steht ganz klar im Text, daß Win7 mit ca. 40% betroffen war. Wäre man also von WinXP zu Win7 gegangen, hätte einem das gar nichts genutzt. Und niemand geht freiwillig auf Win8. Die teuren Business-Notebooks werden nicht umsonst noch immer mit Win7 verkauft. Abgesehen davon sind automatische Updates ein Fluch, welcher direkt zu einer MONOKULTUR führt, welche bekanntlich extrem angreifbar ist. Es ist NICHT gut, wenn alle Rechner der Welt exakt das gleiche Betriebssystem haben, denn dann kann man mit einem einzigen Virus ALLE angreifen. Um das zu verhindern, müßten die automatischen Updates viele verschiedene Versionen verbreiten, nicht nur eine. Es macht diese Welt verwundbar, wenn überall die gleichen Firmen die gleichen Produkte verkaufen, überall die gleiche Software läuft, etc. Wer Sicherheit will, muß Diversität aufrecht erhalten. Auf allen Gebieten. Gleichmacherrei führt dazu, daß am Ende keiner mehr unverletzt übrig bleibt und seinem Nachbarn helfen kann. Aber wir werden von Leuten geführt, die nur den Maximalgewinn im Auge haben, nicht die Interessen der Menschen.
4. Die üblichen Verdächtigen
mfgkw 07.10.2014
"Java, Flash und PDF", also Oracle und Adobe. So wenig ich Windows mag (das hier noch nicht mal besonders schuld ist), so kriminell leichtsinnig ist es Java von Oracle und den kranken Müll von Adobe zu installieren. Dauernd Monsterupdates, und trotzdem Lücken ohne Ende. Ich glaube kaum noch, daß das ein Versehen ist - so schlecht kann man doch gar nciht programmieren.
5. genau lesen ist hilfreich!!!
petrasha 07.10.2014
manchmal hab ich den eindruck, man will XP schuldig sprechen, damit die leute schnell rennen um sich neuere pc´s anzuschaffen. ich würde dies auch tun, wenn mir damit garantiert wäre, dass ich sicherer wäre. ist aber nicht der fall. also keine panik!
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



Schad- und Spähsoftware
Klicken Sie auf die Stichworte, um mehr zu erfahren
Trojaner
Wie das Trojanische Pferd in der griechischen Mythologie verbergen Computer-Trojaner ihre eigentliche Aufgabe (und Schädlichkeit!) hinter einer Verkleidung. Meist treten sie als harmlose Software auf: Bildschirmschoner, Videodatei, Zugangsprogramm. Sie werden zum Beispiel als E-Mail-Anhang verbreitet. Wer das Programm startet, setzt damit immer eine verborgene Schadfunktion ein: Meist besteht diese aus der Öffnung einer sogenannten Backdoor , einer Hintertür, die das Computersystem gegenüber dem Internet öffnet und durch die weitere Schadprogramme nachgeladen werden.
Virus
Computerviren befallen vorhandene Dateien auf den Computern ihrer Opfer. Die Wirtsdateien funktionieren – zumindest eine Zeit lang - weiterhin wie zuvor. Denn Viren sollen nicht entdeckt werden. Sie verbreiten sich nicht selbständig, sondern sind darauf angewiesen, dass Computernutzer infizierte Dateien weitergeben, sie per E-Mail verschicken, auf USB-Sticks kopieren oder in Tauschbörsen einstellen. Von den anderen Schad- und Spähprogrammen unterscheidet sich ein Virus allein durch die Verbreitungsmethode. Welche Schäden er anrichtet, hängt allein vom Willen seiner Schöpfer ab.
Rootkit
Das kleine Kompositum führt die Worte "Wurzel" und "Bausatz" zusammen: "Root" ist bei Unix-Systemen der Benutzer mit den Administratorenrechten, der auch in die Tiefen des Systems eingreifen darf. Ein "Kit" ist eine Zusammenstellung von Werkzeugen. Ein Rootkit ist folglich ein Satz von Programmen, die mit vollem Zugriff auf das System eines Computers ausgestattet sind. Das ermöglicht dem Rootkit weitgehende Manipulationen, ohne dass diese beispielsweise von Virenscannern noch wahrgenommen werden können. Entweder das Rootkit enthält Software, die beispielsweise Sicherheitsscanner deaktiviert, oder es baut eine sogenannte Shell auf, die als eine Art Mini-Betriebssystem im Betriebssystem alle verdächtigen Vorgänge vor dem Rechner verbirgt. Das Gros der im Umlauf befindlichen Rootkits wird genutzt, um Trojaner , Viren und andere zusätzliche Schadsoftware über das Internet nachzuladen. Rootkits gehören zu den am schwersten aufspürbaren Kompromittierungen eines Rechners.
Wurm
Computerwürmer sind in der Praxis die getunte, tiefergelegte Variante der Viren und Trojaner. Im strengen Sinn wird mit dem Begriff nur ein Programm beschrieben, das für seine eigene Verbreitung sorgt - und der Programme, die es transportiert. Würmer enthalten als Kern ein Schadprogramm , das beispielsweise durch Initiierung eines eigenen E-Mail-Programms für die Weiterverbreitung von einem befallenen Rechner aus sorgt. Ihr Hauptverbreitungsweg sind folglich die kommunikativen Wege des Webs: E-Mails, Chats, AIMs , P2P-Börsen und andere. In der Praxis werden sie oft als Vehikel für die Verbreitung verschiedener anderer Schadprogramme genutzt.
Drive-by
Unter einem Drive-by versteht man die Beeinflussung eines Rechners oder sogar die Infizierung des PC durch den bloßen Besuch einer verseuchten Web-Seite. Die Methode liegt seit einigen Jahren sehr im Trend: Unter Ausnutzung aktueller Sicherheitslücken in Browsern und unter Einsatz von Scripten nimmt ein auf einer Web-Seite hinterlegter Schadcode Einfluss auf einen Rechner. So werden zum Beispiel Viren verbreitet, Schnüffelprogramme installiert, Browseranfragen zu Web-Seiten umgelenkt, die dafür bezahlen und anderes. Drive-bys sind besonders perfide, weil sie vom PC-Nutzer keine Aktivität (wie das Öffnen einer E-Mail) verlangen, sondern nur Unvorsichtigkeit. Opfer sind zumeist Nutzer, die ihre Software nicht durch regelmäßige Updates aktuell halten - also potenziell so gut wie jeder.
Botnetz
Botnets sind Netzwerke gekidnappter Rechner - den Bots. Mit Hilfe von Trojaner-Programmen, die sie beispielsweise durch manipulierte Web-Seiten oder fingierte E-Mails auf die Rechner einschleusen, erlangen die Botnet-Betreiber Zugriff auf die fremden PC und können sie via Web steuern. Solche Botnets zu vermieten, kann ein einträgliches Geschäft sein. Die Zombiearmeen werden unter anderem genutzt, um millionenfache Spam-Mails zu versenden, durch eine Vielzahl gleichzeitiger Anfragen Web-Seiten in die Knie zu zwingen oder in großem Stile Passwörter abzugrasen. (mehr bei SPIEGEL ONLINE)
Fakeware, Ransomware
Das Wort setzt sich aus "Fake", also "Fälschung", und "Ware", der Kurzform für Software zusammen: Es geht also um "falsche Software" . Gemeint sind Programme, die vorgeben, eine bestimmte Leistung zu erbringen, in Wahrheit aber etwas ganz anderes tun. Häufigste Form: angebliche IT-Sicherheitsprogramme oder Virenscanner. In ihrer harmlosesten Variante sind sie nutzlos, aber nervig: Sie warnen ständig vor irgendwelchen nicht existenten Viren und versuchen, den PC-Nutzer zu einem Kauf zu bewegen. Als Adware-Programme belästigen sie den Nutzer mit Werbung.

Die perfideste Form aber ist Ransomware : Sie kidnappt den Rechner regelrecht, macht ihn zur Geisel. Sie behindert oder verhindert das normale Arbeiten, lädt Viren aus dem Netz und stellt Forderungen auf eine "Reinigungsgebühr" oder Freigabegebühr, die nichts anderes ist als ein Lösegeld: Erst, wenn man zahlt, kann man mit dem Rechner wieder arbeiten. War 2006/2007 häufig, ist seitdem aber zurückgegangen.
Zero-Day-Exploits
Ein Zero-Day-Exploit nutzt eine Software-Sicherheitslücke bereits an dem Tag aus, an dem das Risiko überhaupt bemerkt wird. Normalerweise liefern sich Hersteller von Schutzsoftware und die Autoren von Schadprogrammen ein Kopf-an-Kopf-Rennen beim Stopfen, Abdichten und Ausnutzen bekanntgewordener Lücken.
Risiko Nummer eins: Nutzer
Das größte Sicherheitsrisiko in der Welt der Computer sitzt vor dem Rechner. Nicht nur mangelnde Disziplin bei nötigen Software-Updates machen den Nutzer gefährlich: Er hat auch eine große Vorliebe für kostenlose Musik aus obskuren Quellen, lustige Datei-Anhänge in E-Mails und eine große Kommunikationsfreude im ach so informellen Plauderraum des Webs. Die meisten Schäden in der IT dürften von Nutzer-Fingern auf Maustasten verursacht werden.
DDoS-Attacken
Sogenannte distribuierte Denial-of-Service-Attacken (DDoS) sind Angriffe, bei denen einzelne Server oder Netzwerke mit einer Flut von Anfragen anderer Rechner so lange überlastet werden, bis sie nicht mehr erreichbar sind. Üblicherweise werden für solche verteilten Attacken heutzutage sogenannte Botnetze verwendet, zusammengeschaltete Rechner, oft Tausende oder gar Zehntausende, die von einem Hacker oder einer Organisation ferngesteuert werden.


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: