Necurs Microsoft bremst Mega-Botnetz aus
Necurs half bei der Verbreitung von Verschlüsselungstrojanern, vor allem aber beim Versenden von Spam-E-Mails: Microsoft schreibt sich auf die Fahne , gemeinsam mit Partnern aus 35 Ländern das berüchtigte Botnetz bis auf Weiteres gestoppt zu haben. Necurs gilt mit rund neun Millionen Computern als eins der aktivsten Botnetze der Welt. Die Spam-E-Mails, die dank ihm in Postfächern rund um den Globus landeten, hätten sich etwa um falsche Pharma-Produkte und russische Dating-Angebote gedreht, schreibt Microsoft. Schon ein einzelner Computer des Netzwerks habe innerhalb von gut zwei Monaten 3,8 Millionen Spam-Nachrichten verschickt.
Botnetze kann man sich generell als digitale Zombie-Armeen vorstellen. Sie bestehen aus gekaperten Geräten, die mit dem Internet verbunden sind. Deren Besitzer bekommen in der Regel gar nicht mit, dass ihr Gerät durch Schadsoftware Teil einer ferngesteuerten Armee geworden ist und bei Attacken auf fremde Server mithilft.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt zu Necurs , dass dieses Netz auf vielfältige Weise eingesetzt werde: "Es ist in der Lage, jederzeit um neue Fähigkeiten erweitert zu werden". Eine Infektion mit Necurs sei "sehr ernst zu nehmen, da großer Schaden für den Infizierten entstehen kann". Von Necurs gekapert würden neue Rechner unter anderem über E-Mail-Anhänge, die wie normale Dokumente daherkommen, aber Malware enthalten. Auch Microsoft erwähnt die große Bandbreite der Necurs-Operationen, vom Abgreifen von Zugangsdaten für Online-Accounts über "Pump-and-Dump"-Aktienbetrugsmaschen bis hin zu Attacken auf andere mit dem Internet verbundene Rechner.
"Das Botnetz erheblich gestört"
Hinter Necurs werden Kriminelle aus Russland vermutet. Microsoft schreibt, die Betreiber würden ihr Botnetz vermutlich auch anderen Kriminellen zur Verfügung stellen, indem sie diese Zugänge verkaufen oder vermieten.
Zum ersten Mal auf dem Radar der Sicherheitsfirmen aufgetaucht war Necurs 2012 - auch Microsoft betont nun, seinem Schlag gegen das Botnetz seien acht Jahre Vorbereitung vorausgegangen. Die ergriffenen Maßnahmen würden nun dafür sorgen, dass die Betreiber nicht mehr länger auf zentrale Teile der Necurs-Infrastruktur zurückgreifen können. Konkret will Microsoft jetzt verhindern können, dass die Necurs-Betreiber neue Domains registrieren, die für künftige Attacken genutzt worden wären.
Man habe eine Technik durchschaut, mit der im Fall von Necurs systematisch neue Domains generiert wurden, erklärt Microsoft dazu. Es gehe um den sogenannten Domain-Generierung-Algorithmus (DGA). Konkret gehe es um sechs Millionen einzigartige Domains für die kommenden 25 Monate. Diese habe Microsoft den Registrierstellen verschiedener Länder gemeldet, sodass jene Domains nun absehbar nicht Teil der Necurs-Infrastruktur werden. "Indem wir die Kontrolle über bestehende Websites übernommen und die Möglichkeit zur Registrierung neuer Websites verhindert haben, haben wir das Botnetz erheblich gestört", schreibt Microsoft. Weiter heißt es, man stehe auch mit Internetprovidern in Kontakt, um Necurs-Schadsoftware von den Geräten ihrer Kunden zu entfernen.
