- David Goldstein -
Microsoft und eine Reihe von Partnern aus 35 Ländern konnten im März eines der leistungsstärksten Botnets der Welt abschalten. Das sogenannte Necurs Botnet infizierte weltweit mehr als neun Millionen Computer und nutzte innerhalb von 25 Monaten sechs Millionen einzigartige Domainnamen mit verschiedensten Top Level Domains.
Zu den Partnern, die an der Abschaltung des Botnets beteiligt waren, gehörte auch die Registry der .eu Domain EURid. Aber dies geschah nicht über Nacht, sondern erfolgte nach acht Jahren der Verfolgung und Planung durch Microsoft’s Malware Lab. Es ist nun wesentlich schwieriger für die Kriminellen hinter dem Netzwerk Cyberattacken auszuführen, da nicht länger auf Schlüsselelemente der Necurs-Infrastruktur zurückgegriffen werden kann.
Microsofts Digital Crimes Unit, BitSight und andere der Sicherheits-Community beobachteten das Necurs-Botnet erstmals 2012 und erkannten die Verbreitung verschiedenster Malware-Formen wie den Banken-Trojaner GameOver Zeus.
Necurs war eines der größten Netzwerke in Bezug auf die bedrohende Spam-Mailings mit Opfern in fast allen Ländern der Welt. Während der 58-tägigen Untersuchung von Microsoft wurde festgestellt, dass ein Necurs-infizierter Computer insgesamt 3,8 Millionen Spam-Mails an über 40,6 Millionen potenzielle Opfer verschickte.
EURid unterstütze Microsoft und dessen Partner durch die Bereitstellung ihres Missbrauchsverhütungs- und Frühwarnsystems (APEWS), welches potentiell bösartige Domains bereits während des Registrierungsprozesses markiert. Einmal markiert, werden die Domains erst dann freigegeben, wenn ein Einhaltungs- und Überprüfungsprozess erfolgreich abgeschlossen wurde. Dieser Prozess verhindert die böswillige und kriminelle Nutzung von Domainnamen (wie sie von Necurs Domain-Generierungsalgorithmus genutzt wurden) und bietet gleichzeitig Instrumente für Cyberforscher und Strafverfolgungsbehörden zur Identifizierung potenzieller Opfer und krimineller Akteure.
Es wurde angenommen, dass Necurs von Straftätern mit Sitz in Russland betrieben und für ein breites Spektrum von Straftaten eingesetzt wurde, darunter Betrug mit Pump-and-Dump-Lagerbeständen, gefälschte Pharma-Spam-Mails und „russischer Dating“-Betrug. Es wurde auch dazu benutzt, um andere Computer im Internet anzugreifen, Zugangsdaten für Online-Konten, sowie persönliche Informationen und vertrauliche Daten von Personen zu entwenden. Interessanterweise scheint es, als hätten die Täter hinter Necurs den Zugang zu den infizierten Computergeräten als Teil eines Botnet-for-hire-Dienstes an andere Cyberkriminelle verkauft oder vermietet. Necurs ist auch für die Verbreitung von Malware aus finanziellen Gründen und Lösegeldforderungen, sowie Kryptomining bekannt. Es verfügt sogar über eine DDoS-Fähigkeit (Distributed Denial of Service), die noch nicht aktiviert wurde, es aber jederzeit werden könnte.
Einem Bericht der New York Times zufolge schlug Microsofts’ Team am 10. März auf einem ungewöhnlich leeren Microsoft-Campus in Redmond zu, der aufgrund seiner Nähe zum globalen Microsoft-Hauptquartier, welches einen Hot Spot für den Coronavirus darstellte, weitestgehend leer stand. Die Beseitigung des Botnets war also keine work-from-home-Aufgabe.
Der Sturz des Botnets ist Mircosofts’ Analyse der von Necurs genutzen Technik zur systematischen Generierung neuer Domains zu verdanken. Microsoft war in der Lage über sechs Millionen Domains, die in den nächsten 25 Monaten erstellt werden würden, genau vorherzusagen. Diese wurden dann bei den jeweiligen Registries in Ländern auf der ganzen Welt gemeldet, damit die Webseiten blockiert und somit kein Teil der Necurs-Infrastruktur werden konnten. Durch die Übernahme der Kontrolle über bestehende Webseiten und die Verhinderung der Registrierung neuer, habe Microsoft das Botnet erheblich geschwächt, erklärte Tom Burt, Microsoft's Corporate Vice President, Customer Security and Trust, in einem Blogeintrag des Unternehmens.
Trotzdem gibt sich Microsoft keinen Illusionen hin, dass die kriminelle Gruppe dauerhaft deaktiviert bleiben wird. "Wir haben ihnen lediglich für eine Weile die Hände gebunden", sagte Amy Hogan-Burney, die Generaldirektorin der Digital Crimes Unit und ehemalige FBI-Anwältin, gegenüber der New York Times.
Laut der Times war es nun das 18. Mal in 10 Jahren, dass Microsoft eine digitale Verbrecheroperation ausgeschaltet hat. Allerdings ist unklar, ob es zu einer Anklage oder sogar zu einem Gerichtsprozess kommen wird. Führungskräfte von Microsoft räumten ein, dass die Täter hinter Necurs schnell zurück in ihre Löcher kriechen und erst nach einiger Zeit wieder heraus kommen würden.
"Cyberkriminelle sind unglaublich agil", sagte Tom Burt gegenüber der Times, "und sie kommen raffinierter und vielseitiger zurück. Es ist ein ultimatives Katz-und-Maus-Spiel".
Für diesen Fall arbeitet Microsoft unter anderem bereits mit ISPs, Domain Registries wie EURid, CERTs der Regierung und Strafverfolgungsbehörden in Mexiko, Kolumbien, Taiwan, Indien, Japan, Frankreich, Spanien, Polen und Rumänien zusammen.
