Ramnit: Europol legt Botnet lahm

CyberkriminalitätSicherheit

3,2 Millionen infizierte Rechner: In Deutschland ging das BKA gegen Teile der Infrastruktur von Ramnit vor. Außerdem haben sich Microsoft, Symantec sowie Behörden in Großbritannien, Italien und den Niederlanden an den Ermittlungen beteiligt.

Die European Cybercrime Centre (EC3) von Europol hat das Botnetz Ramnit zerschlagen. Die Aktion erfolgte in Kooperation mit Polizeibehörden in Deutschland, Großbritannien, Italien und den Niederlanden. Etwa 3,2 Millionen infizierte Windows-Rechner umfasste das Netzwerk. In Deutschland hat das Bundeskriminalamt (BKA) Teile der in Deutschland gehosteten Netzinfrastruktur deaktiviert.

Wie das BKA mitteilt, hatten es die Betreiber des Botnets auf persönliche Daten wie Passwörter und Bankinformationen abgesehen. Die eingesetzte Malware verbreitete sich über Links in E-Mails oder bösartige Websites als Drive-by-Download.

Infografik zum Botnetz Ramnit (Grafik: Symantec)
Infografik zum Botnetz Ramnit (Grafik: Symantec)

“Die Malware gibt Kriminellen eine effektive Hintertür, sodass sie die Kontrolle über Ihren Computer übernehmen, auf Ihre Bilder zugreifen, Passwörter oder persönliche Daten stehlen und sogar weitere Spam-Nachrichten verteilen oder illegale Angriffe auf andere Websites starten können”, führt Steve Pye vom National Cyber Crime Unit (NCCU) der britischen Polizeibehörde National Crime Agency (NCA) dazu aus. “Es ist wichtig, dass Betroffene nun Maßnahmen ergreifen, um ihre Computer zu bereinigen und ihre persönlichen Daten zu schützen.”

Über Ramnit habe zunächst Microsoft Europol informiert, so die britische Behörde. Der Softwarekonzern habe eine Zunahme der Infektionen festgestellt. An den Ermittlungen beteiligten sich auch AnubisNetworks und Symantec. Gemeinsam schalteten die Behörden zahlreiche Befehlsserver ab und leiteten über 300 von den Ramnit-Betreibern benutzte Internet-Domains um.

Spionage-Modul überwacht Internetverkehr

Ramni sei bereits 2010 als Wurm (W32.Ramnit) zum ersten Mal aufgetaucht, schreibt Symantec in einem Blog. Die Malware habe sich allerdings mit der Zeit weiterentwickelt und kam schließen zum Aufbau eines Botnetzes zum Einsatz. Die aktuelle Ramnit-Version (W32.Ramnit.B) nutze verschiedene Module des Trojaners Zeus, dessen Quellcode im Mai 2011 durchgesickert sei.

Den gesamten Internetverkehr eines Opfers könne ein Spionage-Modul überwachen, so Symantec weiter. Zudem sei es geeignet, besuchte Banking-Websites zu manipulieren und zusätzliche Anmeldedaten wie Details von Kreditkarten abzufragen. Andere Ramnit-Module stehlen Cookies, um Browsersitzungen zu übernehmen, oder durchsuchen Festplatten nach vorgegebenen Ordnern, um vertrauliche Informationen zu stehlen.

BKA und Europol betonten in ihren Pressemitteilungen die Bedeutung einer internationalen Zusammenarbeit zwischen Behörden und Unternehmen. “Das Ausmaß dieses Botnetzes, die Anzahl von über drei Millionen Geschädigten sowie die Internationalität des kriminellen Handelns unterstreicht, wie wichtig schlagkräftige nationale wie internationale Kooperationen der Strafverfolgungsbehörden, aber auch Allianzen mit der Wirtschaft sind. Nur so können wir die Bürgerinnen und Bürger vor Cyberkriminellen schützen”, erklärt BKA-Präsident Holger Münch in einer Pressemitteilung.

Microsoft und Symantec bieten kostenlose Tools an, die eine Ramnit-Infektion erkennen und beseitigen können.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen