Qbot-Botnet Kriminelle erbeuten Daten von 500.000 Online-Bankkonten

Der Raubzug war professionell organisiert: Online-Kriminelle aus dem russischen Sprachraum haben Hunderttausende Computer mit Malware infiziert, Zugangsdaten von Bankkonten abgefischt. Besonders betroffen sind alte Windows-Versionen.

Passwort auf einem Laptop (Symbolbild): Alte PC im Visier der Kriminellen
DPA

Passwort auf einem Laptop (Symbolbild): Alte PC im Visier der Kriminellen

Von


Eine Gruppe Krimineller hat im Rahmen eines großangelegten Angriffs Hunderttausende Rechner mit Schadsoftware infiziert, um an die Kontozugangsdaten der Anwender zu gelangen. Einem Bericht der Online-Sicherheitsfirma Proofpoint zufolge hat die russischsprachige Gruppierung primär Systeme und Onlinebanking-Konten in den USA angegriffen. Allerdings seien auch europäische Nutzer betroffen.

Indem sie Schadsoftware auf verwundbare Rechner einschleusten bekamen die Angreifer Zugriff auf rund eine halbe Millionen Computer, die sie zum sogenannte Qbot-Botnet zusammenschalteten. Im Rahmen ihrer Aktion sei es ihnen gelungen, 800.000 Online-Banking-Transaktionen auszuspähen. Die Mehrzahl davon habe man Konten bei den fünf größten US-Banken zuordnen können.

Für ihren Angriff nutzen die Kriminellen dem Bericht zufolge ausgesprochen professionelle Techniken. So schleusten sie zunächst eine Malware auf ansonsten harmlosen Webseiten ein. Um einer Entdeckung vorzubeugen und Schutzmaßnahmen, etwa durch Antivirensoftware, zu umgehen, lockten sie ihre Opfer zunächst beispielsweise mit Links in E-Mails auf scheinbar harmlose Webseiten.

Angriffsziel Windows XP

Auf diesen Webseiten platzierten sie ein sogenanntes Traffic Distribution System. Diese Software überprüfte den Rechner, der die Seite aufgerufen hatte, nach verschiedenen Kriterien. Unter anderem versuchte sie herauszufinden, ob der Computer womöglich einer Sicherheitsfirma oder einem Sicherheitsforscher zuzuordnen war, was zu einem Abbruch des Angriffs geführt hätte. Tatsächlich wurden nur Computer attackiert, die bestimmten Internet-Adressbereichen und Regionen zugeordnet werden konnten.

Der eigentliche Angriff wurde zudem nur durchgeführt, wenn das Traffic Distribution System einen verwundbaren Rechner erkannte. Die Angreifer suchten dabei offensichtlich konkret nach Rechnern, auf denen ältere Windows-Versionen installiert waren. Laut Proofpoint lief auf 52 Prozent der infizierten PC das veraltete Windows XP, für das Microsoft den Support im April 2014 eingestellt hat. Windows 7 war mit 39 Prozent der infizierten Systeme das zweitgrößte Angriffsziel, auf Windows Vista entfielen sieben Prozent.

Die Opferrechner wurden an Kriminelle vermietet

Wurde ein Computer von den automatisierten Angriffssystemen identifiziert, haben die Kriminellen über Sicherheitslücken im Internet Explorer oder anderen Web-Techniken wie Java, Flash und PDF einen sogenannten Dropper auf dem Rechner installiert. Dieser Dropper wiederum lud dann weitere Schadsoftware nach.

Die Angreifer beließen es laut Proofpoint allerdings nicht dabei, ihren Opfer die Zugangsdaten zu ihren Bankkonten abzunehmen. Zusätzlich sollen sie das Botnet, das sie aus den gekaperten Maschinen zusammengeschaltet hatten, an anderen Kriminelle vermietet haben. Diese hätten es über Spezialsoftware beispielsweise nutzen können, um über eine Art private Cloud verschlüsselte Nachrichten und gestohlene Daten untereinander zu verschicken.

Immer an Updates denken

Über die finanzielle Ausbeute der Kriminellen kann Proofpoint keine Angaben machen, schätzt aber, dass der Angriff mehrere Millionen Dollar eingebracht haben könnte. Als Schutz vor derartigen Angriffen empfehlen die Sicherheitsexperten einmal mehr, man solle regelmäßig die neuesten Sicherheits-Updates und Patches installieren, um potenzielle Sicherheitslücken frühzeitig abzudichten.

Vor allem aber raten sie Nutzern von Windows XP, schnellstmöglich auf ein Betriebssystem umzusteigen, das von seinem Hersteller noch unterstützt und mit Updates versorgt wird.

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 7 Beiträge
Alle Kommentare öffnen
Seite 1
Layer_8 07.10.2014
1. Xp
Ich denke, XP ist noch OK, wenn man keine sensiblen Daten übermitteln will. Wenn man dies doch tut, ist es allerdings zumindest grob fahrlässig. Ich hab noch einen XP-Rechner. Zum spielen und zum surfen für Gäste, mehr aber nicht. Und bei Win7 gibts immer noch regelmäßige Sicherheitsupdates. Diese Option scheint bei den betroffenen Rechnern abgestellt gewesen zu sein. Und Java kann man abstellen, wenn man es nicht braucht.
fatherted98 07.10.2014
2. Internet Banking...
...ich mache das so: Festplatte rausgeschmissen. Linux Betriebssystem auf ISO CD ROM gebrannt. Ausreichender Arbeitsspeicher im PC. Wenn der PC ausgeschaltet wird sind alle Daten weg...im Arbeitsspeicher kann sich nix festsetzen wenn der Strom weg ist. Auf die CD kann nix drauf. Zum Internetbanking immer nur auf die Bankseite...sonst kein surfen...und mTans auf eine Handy das nur zu diesem Empfang dient...kein surfen oder so was. Meiner Meinung nach ziemlich sicher. Wenn man Passwort und Kontodaten natürlich irgendjemandem schickt....oder die Bank selbst gehackt wird...tja...
quark@mailinator.com 07.10.2014
3. Quatsch mit Soße
Es ist doch wirklich eine Frechheit, wie hier WinXP zum Schuldigen gemacht werden soll. Es steht ganz klar im Text, daß Win7 mit ca. 40% betroffen war. Wäre man also von WinXP zu Win7 gegangen, hätte einem das gar nichts genutzt. Und niemand geht freiwillig auf Win8. Die teuren Business-Notebooks werden nicht umsonst noch immer mit Win7 verkauft. Abgesehen davon sind automatische Updates ein Fluch, welcher direkt zu einer MONOKULTUR führt, welche bekanntlich extrem angreifbar ist. Es ist NICHT gut, wenn alle Rechner der Welt exakt das gleiche Betriebssystem haben, denn dann kann man mit einem einzigen Virus ALLE angreifen. Um das zu verhindern, müßten die automatischen Updates viele verschiedene Versionen verbreiten, nicht nur eine. Es macht diese Welt verwundbar, wenn überall die gleichen Firmen die gleichen Produkte verkaufen, überall die gleiche Software läuft, etc. Wer Sicherheit will, muß Diversität aufrecht erhalten. Auf allen Gebieten. Gleichmacherrei führt dazu, daß am Ende keiner mehr unverletzt übrig bleibt und seinem Nachbarn helfen kann. Aber wir werden von Leuten geführt, die nur den Maximalgewinn im Auge haben, nicht die Interessen der Menschen.
mfgkw 07.10.2014
4. Die üblichen Verdächtigen
"Java, Flash und PDF", also Oracle und Adobe. So wenig ich Windows mag (das hier noch nicht mal besonders schuld ist), so kriminell leichtsinnig ist es Java von Oracle und den kranken Müll von Adobe zu installieren. Dauernd Monsterupdates, und trotzdem Lücken ohne Ende. Ich glaube kaum noch, daß das ein Versehen ist - so schlecht kann man doch gar nciht programmieren.
petrasha 07.10.2014
5. genau lesen ist hilfreich!!!
manchmal hab ich den eindruck, man will XP schuldig sprechen, damit die leute schnell rennen um sich neuere pc´s anzuschaffen. ich würde dies auch tun, wenn mir damit garantiert wäre, dass ich sicherer wäre. ist aber nicht der fall. also keine panik!
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.