Qbot-Botnet Kriminelle erbeuten Daten von 500.000 Online-Bankkonten

Der Raubzug war professionell organisiert: Online-Kriminelle aus dem russischen Sprachraum haben Hunderttausende Computer mit Malware infiziert, Zugangsdaten von Bankkonten abgefischt. Besonders betroffen sind alte Windows-Versionen.
Passwort auf einem Laptop (Symbolbild): Alte PC im Visier der Kriminellen

Passwort auf einem Laptop (Symbolbild): Alte PC im Visier der Kriminellen

Foto: Oliver Berg/ dpa

Eine Gruppe Krimineller hat im Rahmen eines großangelegten Angriffs Hunderttausende Rechner mit Schadsoftware infiziert, um an die Kontozugangsdaten der Anwender zu gelangen. Einem Bericht der Online-Sicherheitsfirma Proofpoint  zufolge hat die russischsprachige Gruppierung primär Systeme und Onlinebanking-Konten in den USA angegriffen. Allerdings seien auch europäische Nutzer betroffen.

Indem sie Schadsoftware auf verwundbare Rechner einschleusten bekamen die Angreifer Zugriff auf rund eine halbe Millionen Computer, die sie zum sogenannte Qbot-Botnet zusammenschalteten. Im Rahmen ihrer Aktion sei es ihnen gelungen, 800.000 Online-Banking-Transaktionen auszuspähen. Die Mehrzahl davon habe man Konten bei den fünf größten US-Banken zuordnen können.

Für ihren Angriff nutzen die Kriminellen dem Bericht zufolge ausgesprochen professionelle Techniken. So schleusten sie zunächst eine Malware auf ansonsten harmlosen Webseiten ein. Um einer Entdeckung vorzubeugen und Schutzmaßnahmen, etwa durch Antivirensoftware, zu umgehen, lockten sie ihre Opfer zunächst beispielsweise mit Links in E-Mails auf scheinbar harmlose Webseiten.

Angriffsziel Windows XP

Auf diesen Webseiten platzierten sie ein sogenanntes Traffic Distribution System. Diese Software überprüfte den Rechner, der die Seite aufgerufen hatte, nach verschiedenen Kriterien. Unter anderem versuchte sie herauszufinden, ob der Computer womöglich einer Sicherheitsfirma oder einem Sicherheitsforscher zuzuordnen war, was zu einem Abbruch des Angriffs geführt hätte. Tatsächlich wurden nur Computer attackiert, die bestimmten Internet-Adressbereichen und Regionen zugeordnet werden konnten.

Der eigentliche Angriff wurde zudem nur durchgeführt, wenn das Traffic Distribution System einen verwundbaren Rechner erkannte. Die Angreifer suchten dabei offensichtlich konkret nach Rechnern, auf denen ältere Windows-Versionen installiert waren. Laut Proofpoint lief auf 52 Prozent der infizierten PC das veraltete Windows XP, für das Microsoft den Support im April 2014 eingestellt hat. Windows 7 war mit 39 Prozent der infizierten Systeme das zweitgrößte Angriffsziel, auf Windows Vista entfielen sieben Prozent.

Die Opferrechner wurden an Kriminelle vermietet

Wurde ein Computer von den automatisierten Angriffssystemen identifiziert, haben die Kriminellen über Sicherheitslücken im Internet Explorer oder anderen Web-Techniken wie Java, Flash und PDF einen sogenannten Dropper auf dem Rechner installiert. Dieser Dropper wiederum lud dann weitere Schadsoftware nach.

Die Angreifer beließen es laut Proofpoint allerdings nicht dabei, ihren Opfer die Zugangsdaten zu ihren Bankkonten abzunehmen. Zusätzlich sollen sie das Botnet, das sie aus den gekaperten Maschinen zusammengeschaltet hatten, an anderen Kriminelle vermietet haben. Diese hätten es über Spezialsoftware beispielsweise nutzen können, um über eine Art private Cloud verschlüsselte Nachrichten und gestohlene Daten untereinander zu verschicken.

Immer an Updates denken

Über die finanzielle Ausbeute der Kriminellen kann Proofpoint keine Angaben machen, schätzt aber, dass der Angriff mehrere Millionen Dollar eingebracht haben könnte. Als Schutz vor derartigen Angriffen empfehlen die Sicherheitsexperten einmal mehr, man solle regelmäßig die neuesten Sicherheits-Updates und Patches installieren, um potenzielle Sicherheitslücken frühzeitig abzudichten.

Vor allem aber raten sie Nutzern von Windows XP, schnellstmöglich auf ein Betriebssystem umzusteigen, das von seinem Hersteller noch unterstützt und mit Updates versorgt wird.

Die Wiedergabe wurde unterbrochen.