Erzeugten Kryptogeld

Botnetz geknackt: Polizei „heilt“ 850.000 Computer

(Bild: APA/dpa/Felix Kästle)

Der französischen Polizei ist es gelungen, eine weltweite Malware-Kampagne zu stoppen und 850.000 zum Botnetz zusammengeschlossene infizierte Geräte zu „heilen“. Unbekannte hatten sie missbraucht, um mit abgezapfter Rechenleistung Kryptogeld zu erzeugen. Zum Erfolg führte die Ermittler eine Schwachstelle im Kommandoserver.

Die Cyber-Abteilung der französischen Polizei hatte Hilfe vom tschechischen Antivirenunternehmen Avast, das die Schwachstelle im Kommandoserver der „Retadup“-Malware entdeckt hat. „Retadup“ hatte Hunderttausende Computer in aller Welt infiziert und deren Rechenleistung angezapft, um Kryptogeld zu errechnen. Nach Einschätzung der Polizei dürften sich die Hinterleute auf diesem Weg einige Millionen Euro verschafft haben.

Kommandoserver stand in Frankreich
Weil der Kommandoserver von „Retadup“ in Frankreich stand, wandte sich Avast an die dortigen Behörden, um ihn zum Schweigen zu bringen. Die erhielten vom Webhoster eine Kopie des Kommandoservers und modifizierten diese gemeinsam mit Avast so, dass sie Selbstzerstörungs-Befehle an die in aller Welt verteilten Kryptogeld-Viren verschickten. Im Juli übernahm die Polizei schließlich die Kontrolle über den Server und desinfizierte mit der manipulierten Variante rund 850.000 infizierte Rechner.

Desinfektion klappte ab erster Sekunde
„Schon in der ersten Sekunde, als der Server aktiv wurde, verbanden sich einige Tausend Bots zu ihm, um sich ihre Befehle zu holen. Der Desinfizierungs-Server antwortete ihnen und desinfizierte sie unter Ausnutzung eines Protokoll-Designfehlers“, berichtet Avast in einem Blogeintrag. Dass Behörden einen Botnetz-Kommandoserver übernehmen und die infizierten Rechner „heilen“, kommt ausgesprochen selten vor.

Hinterleute durften keinen Verdacht schöpfen
Auch im konkreten Fall war man darauf bedacht, dass die Hintermänner der Malware-Kampagne keinen Verdacht schöpfen. „Wenn sie gemerkt hätten, dass wir dabei sind, ‚Retadup‘ komplett stillzulegen, hätten sie vermutlich ihre Malware auf Hunderttausende Rechner gepusht und versucht, damit ein paar letzte Profite zu machen“, heißt es von Avast.