02.09.2019 11:51 |

Erzeugten Kryptogeld

Botnetz geknackt: Polizei „heilt“ 850.000 Computer

Der französischen Polizei ist es gelungen, eine weltweite Malware-Kampagne zu stoppen und 850.000 zum Botnetz zusammengeschlossene infizierte Geräte zu „heilen“. Unbekannte hatten sie missbraucht, um mit abgezapfter Rechenleistung Kryptogeld zu erzeugen. Zum Erfolg führte die Ermittler eine Schwachstelle im Kommandoserver.

Die Cyber-Abteilung der französischen Polizei hatte Hilfe vom tschechischen Antivirenunternehmen Avast, das die Schwachstelle im Kommandoserver der „Retadup“-Malware entdeckt hat. „Retadup“ hatte Hunderttausende Computer in aller Welt infiziert und deren Rechenleistung angezapft, um Kryptogeld zu errechnen. Nach Einschätzung der Polizei dürften sich die Hinterleute auf diesem Weg einige Millionen Euro verschafft haben.

Kommandoserver stand in Frankreich
Weil der Kommandoserver von „Retadup“ in Frankreich stand, wandte sich Avast an die dortigen Behörden, um ihn zum Schweigen zu bringen. Die erhielten vom Webhoster eine Kopie des Kommandoservers und modifizierten diese gemeinsam mit Avast so, dass sie Selbstzerstörungs-Befehle an die in aller Welt verteilten Kryptogeld-Viren verschickten. Im Juli übernahm die Polizei schließlich die Kontrolle über den Server und desinfizierte mit der manipulierten Variante rund 850.000 infizierte Rechner.

Desinfektion klappte ab erster Sekunde
„Schon in der ersten Sekunde, als der Server aktiv wurde, verbanden sich einige Tausend Bots zu ihm, um sich ihre Befehle zu holen. Der Desinfizierungs-Server antwortete ihnen und desinfizierte sie unter Ausnutzung eines Protokoll-Designfehlers“, berichtet Avast in einem Blogeintrag. Dass Behörden einen Botnetz-Kommandoserver übernehmen und die infizierten Rechner „heilen“, kommt ausgesprochen selten vor.

Hinterleute durften keinen Verdacht schöpfen
Auch im konkreten Fall war man darauf bedacht, dass die Hintermänner der Malware-Kampagne keinen Verdacht schöpfen. „Wenn sie gemerkt hätten, dass wir dabei sind, ‚Retadup‘ komplett stillzulegen, hätten sie vermutlich ihre Malware auf Hunderttausende Rechner gepusht und versucht, damit ein paar letzte Profite zu machen“, heißt es von Avast.

 krone.at
krone.at
Kommentare
Eingeloggt als 
Nicht der richtige User? Logout

Willkommen in unserer Community! Eingehende Beiträge werden geprüft und anschließend veröffentlicht. Bitte achten Sie auf Einhaltung unserer Netiquette und AGB. Für ausführliche Diskussionen steht Ihnen ebenso das krone.at-Forum zur Verfügung.

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Produktvergleiche

Alle Produkte sehen
Newsletter