Internationale Behörden haben erfolgreich das Botnetz Simda stillgelegt, welches aus mehreren Ländern operierte. Das Botnetz hatte die Kontrolle über 770․000 infizierte Computer und wurde von den Drahtziehern für kriminelle Aktivitäten genutzt.
Ein Botnetz besteht aus einer Vielzahl von Computern die heimlich von Kriminellen infiziert und ferngesteuert werden. Die infizierten Computer, ebenfalls als "Bots" bezeichnet, werden oft für illegale Aktivitäten wie Spam-Versand, Denial-of-Service-Angriffe oder Identitätsdiebstahl eingesetzt.
Simda wurde von internationalen Behörden in Zusammenarbeit mit verschiedenen Cybersecurity-Unternehmen & Interpol bekämpft. Gemeinsame Ermittlungen und koordinierte Aktionen führten zur Identifizierung der Drahtzieher und zur Abschaltung der Infrastruktur des Botnetzes.
Laut Experten ist Simda eines der größten Botnetze weltweit gewesen. Es soll seit 2012 aktiv gewesen sein und in weiterhin als 190 Ländern Millionen von Computern infiziert haben. Durch die Kontrolle über die infizierten Computer hatten die Drahtzieher Zugriff auf vertrauliche Daten und konnten diese für kriminelle Zwecke nutzen.
Die Bekämpfung von Botnetzen ist eine komplexe Aufgabe da sie oft über verschiedene Ländergrenzen hinweg operieren und die Drahtzieher ihre Infrastruktur geschickt verschleiern. Internationale Zusammenarbeit und der Einsatz von spezialisierten Cybersicherheitskräften sind entscheidend um solche Botnetze zu bekämpfen.
Die Schließung von Simda ist ein wichtiger Erfolg im Kampf gegen Cyberkriminalität. Die Behörden werden weiterhin daran arbeiten solche Botnetze zu identifizieren zu infiltrieren und zu zerschlagen um die Sicherheit des Internets und der Nutzer zu gewährleisten.
Zuletzt sollen 770․000 Computer zum Botnetz gehört haben. Infizierte Rechner wurden an Kriminelle verkauft. Dabei habe das Botnetz aus 190 Ländern operiert; mit 22 Prozent führte die USA die Liste der Länder mit infizierten Computern an. Das berichtet der Anbieter von Sicherheitssoftware Kaspersky Lab.
Für die Abschaltung des Botnetzes Ende vergangener Woche zeichnen mehrere Parteien verantwortlich. Darunter befinden sich etwa Firmen wie Microsoft Kaspersky Lab & Trend Micro jedoch auch das FBI war mit von der Partie. Die Operation fand zeitgleich über mehrere Ländern verteilt statt und Behörden beschlagnahmten dabei 14 Command-und-Control-Server des Botnetzes.
Beim Kapern von PCs gingen die Betreiber anscheinend äußerst effizient vor, denn im letzten halben Jahr sollen im Monat 128․000 neue Computer infiziert worden sein. Zudem habe sich die Backdoor alle paar Stunden angepasst um Antiviren-Programmen stets einen Schritt voraus zu sein.
Um Computer zu infizieren setzten die Betreiber etwa auf Sicherheitslücken in Java Flash und Silverlight. Opfer wurden mit Phishing-Mails geködert und dazu verleitet Schadcode zu installieren. Dieser modifizierte die Hosts-Datei von Windows und leitete Besucher von Webseiten heimlich auf Server des Botnetzwerkes um. Von dort konnte dann weiterer Schadcode auf die Rechner geschleust werden. In vielen Fällen sollen die Veränderungen in der Hosts-Datei auch nach dem Entfernen der Backdoor bestehen bleiben. Wer die Hosts-Datei prüfen will, findet diese in der Regel unter %SYSTEMROOT%\system32\drivers\etc\hosts. Kaspersky Lab wartet des Weiteren mit einem Test auf. Dieser funktioniert aber nur zuverlässig, wenn sich die IP-Adresse nach der Infektion nicht verändert hat.
Kommentare