Kaspersky Lab, INTERPOL, Industrie und Strafverfolgungsbehörden zerschlagen Simda-Botnetz
In einer weltweiten Operation, koordiniert vom in Singapur ansässigen INTERPOL Global Complex for Innovation, konnte eine Gruppe von führenden IT-Unternehmen – darunter Kaspersky Lab, Microsoft, Trend Micro und das japanische Cyber Defense Institute –zusammen mit Strafverfolgungsbehörden das kriminelle Simda-Botnetz zerschlagen, das tausende PCs weltweit infiziert hat
In einer weltweiten Operation, koordiniert vom in Singapur ansässigen INTERPOL Global Complex for Innovation, konnte eine Gruppe von führenden IT-Unternehmen – darunter Kaspersky Lab, Microsoft, Trend Micro und das japanische Cyber Defense Institute –zusammen mit Strafverfolgungsbehörden das kriminelle Simda-Botnetz zerschlagen, das tausende PCs weltweit infiziert hat.
Am 9. April 2015 wurden in zeitgleich durchgeführten Aktionen zehn Command-and-Control-Server (C&C-Server) in den Niederlanden beschlagnahmt – neben weiteren Servern, die in den USA, Russland, Luxemburg und Polen vom Netz genommen wurden. Bei der Operationen waren Beamte der niederländischen NHTCU (Dutch National High Tech Crime Unit), das US-amerikanische FBI (Federal Bureau of Investigation), die luxemburgische Police Grand-Ducale Section Nouvelles Technologies sowie das für Cyberkriminalität zuständige Department „K“ des russischen Innenministeriums, unterstützt durch das INTERPOL National Central Bureau in Moskau, involviert.
Damit sollte der Betrieb des Botnetzes signifikant zerschlagen worden sein. Für Cyberkriminelle, die eine Weiterführung ihrer illegalen Geschäfte beabsichtigen, werden die hierfür anfallenden Kosten und Risiken erhöht. Die Computer der Opfer werden zudem davor bewahrt, weiter Teil des Botnetzes zu sein.
Etwa 770.000 Rechner in über 190 Ländern infiziert
Erkenntnisse über Simda:
- Bei Simda handelt es sich um eine „Pay-per-Install“-Malware, mit der verbotene Software sowie verschiedene Schadprogramme verbreitet werden, darunter auch Programme, die Zugangsdaten für Finanzportale stehlen können. Mit dem „Pay-per-Install“-Modell verdienen Cyberkriminelle Geld, indem sie anderen Kriminellen einen Zugriff auf infizierte PCs verkaufen, um dort zusätzliche Schadprogramme zu installieren.
- Simda wird über eine Reihe infizierter, auf Exploit-Kits umleitende Webseiten verbreitet. Die Angreifer kompromittieren dabei legitime Webseiten beziehungsweise Server. So beinhaltet die dem Besucher angebotene Webseite gefährlichen Code. Geht ein Nutzer auf eine entsprechende Seite, lädt sich der gefährliche Code heimlich und infiziert einen nicht aktualisierten PC.
- Das Simda-Botnetz war in mehr als 190 Ländern weltweit aktiv, am weit verbreitetsten in den USA, Großbritannien, Russland, Kanada sowie in der Türkei.
- Das Bot hat vermutlich 770.000 Computer weltweit infiziert. Die meisten Opfer wurden in den USA lokalisiert, mit mehr als 90.000 neuen Infektionen seit Jahresbeginn.
- Simda war jahrelang aktiv und wurde hinsichtlich der Ausnutzung von Schwachstellen zunehmend „veredelt“. Neue, schwieriger zu entdeckende Versionen, wurden in Intervallen von wenigen Stunden erstellt und verbreitet. Derzeit kennt Kaspersky Lab mehr als 260.000 ausführbare Dateien, die zu unterschiedlichen Versionen der Simda-Malware gehören.
Um die Hintermänner des Simda-Botnetzes zu identifizieren, werden derzeit Informationen und gewonnene Einsichten gesammelt.
„Diese erfolgreiche Operation unterstreicht den Wert und die Notwendigkeit von Partnerschaften mit nationalen und internationalen Strafverfolgungsbehörden sowie der Privatwirtschaft im Kampf gegen die weltweite Bedrohung durch Cyberkriminalität“, sagt Sanjay Virmani, Direktor des INTERPOL Digital Crime Centre. „Die Operation markiert einen bedeutenden Schlag gegen das Simda-Botnet. INTERPOL wird seine Arbeit fortsetzen, um Mitgliedstaaten beim Schutz ihrer Bürgerinnen und Bürger vor Cyberkriminellen und anderen aufkommenden Bedrohungen zu helfen.“
„Botnetze sind geografisch verteilte Netzwerke. Eine Zerschlagung ist daher in der Regel eine anspruchsvolle Aufgabe. Deshalb ist die Zusammenarbeit von privatem und öffentlichem Sektor entscheidend. Bei diesem gemeinsamen Projekt hat jede Partei seinen eigenen wichtigen Beitrag geleistet. Die Rolle von Kaspersky Lab war es, das Botnetz technisch zu analysieren, es über das Kaspersky Security Network auszuwerten und die Zerschlagungsstrategie beratend zu begleiten“, so Vitaly Kamluk, Principal Researcher bei Kaspersky Lab.
Kaspersky Lab bietet IP-Überprüfungsseite
Die Simda-IP-Überprüfungs-Seite von Kaspersky Lab ist unter https://kas.pr/bot-test abrufbar.
Ein Blogbeitrag „Simda's Hide and Seek: Grown-up Games“ ist hier http://securelist.com/blog/69580/simdas-hide-and-seek-grown-up-games/ verfügbar.
[1] http://securelist.com/blog/69580/simdas-hide-and-seek-grown-up-games/
[2] https://kas.pr/bot-test (Die IP-Adressen konnten als Ergebnis der Simda-Zerschlagung ermittelt werden.)
[3] http://www.kaspersky.com/de/internet-security
Nützliche Links:
- Blog Simda-Analyse: http://securelist.com/blog/69580/simdas-hide-and-seek-grown-up-games/
- Kaspersky-Simda-IP-Überprüfungs-Seite: https://kas.pr/bot-test
Kaspersky Lab, INTERPOL, Industrie und Strafverfolgungsbehörden zerschlagen Simda-Botnetz
Kaspersky
Verwandter Artikel Virennachrichten
Drucker, E-Sport und Kryptowährungen: DDoS-Bericht von Kaspersky Lab offenbart vielfältige Angriffsszenarien
Zweites Quartal 2018: 95 Prozent der DDoS-Attacken Linux-basiertMehr anzeigen >Neue Variante der SynAck-Ransomware trickst Sicherheitslösungen über die raffinierte Doppelgänging-Technik aus
Kaspersky-Analyse: Neue Malware nutzt weitere Verschleierungsmethoden für zielgerichtete Angriffe – auch in DeutschlandMehr anzeigen >Neuer Trend: Missbrauch von Fußball- und VPN-Apps für illegales Krypto-Mining
Kaspersky Lab: Fast 50-prozentige Steigerung der Mining-Angriffe im Jahr 2017Mehr anzeigen >