BredoLab- und Spamit-Abschaltungen hatten keine wesentlichen Auswirkungen auf das Spam-Aufkommen

Ausgangsniveau innerhalb von 24 Stunden wieder erreicht

(11.11.10) - Die Einstellung des Spam-Dienstes Spamit und die Abschaltung eines Großteils der Kontrollstrukturen des BredoLab-Botnets im Oktober 2010 hatten keine anhaltenden Auswirkungen auf das weltweite Spam-Aufkommen. Das geht aus einer Auswertung der Spam- und Malware-Trends im Oktober 2010 hervor, die das eleven Research-Team auf seinem Blog veröffentlicht hat. Trotz der beiden Abschaltungen stieg das Spam-Aufkommen im Vergleich zum September sogar um 4 Prozent an.

In beiden Fällen verzeichneten die Experten zunächst einen leichten Rückgang des Spam-Volumens. Im Fall der BredoLab-Abschaltung in der Nacht vom 26. zum 27. Oktober 2010 kam es dabei zu einer Verringerung des Spam-Ausstoßes um 25 Prozent gegenüber dem gleichen Tag der Vorwoche. Schon am darauf folgenden Tag war jedoch das Ausgangsniveau erreicht. Eine Sondereinheit der niederländischen Polizei hatte die BredoLab-Kommandoserver vom Netz getrennt und mutmaßliche Botnet-Betreiber verhaftet.

Die Einstellung des Spam-Netzwerkes Spamit.com zum 1. Oktober 2010 hatte ähnliche Auswirkungen. Auch hier war der Rückgang bereits innerhalb weniger Tage vollständig kompensiert. Bei Spamit handelte sich dabei um ein Affiliate-Netzwerk des Pharma-Spam-Versenders Glavmed. Der Dienst wurde von den Betreibern selbst eingestellt. Diese informierten ihre Kunden und baten sie, sich neue Vertriebskanäle zu suchen.

Die geringen Auswirkungen dieser beiden Ereignisse bestätigen die Beobachtungen der Experten im Zuge der Abschaltungen der Waledac- und Mariposa-Botnets im Frühjahr dieses Jahres. Verglichen mit dem ersten großen Schlag gegen Botnet-Betreiber im November 2008, als die Internetverbindungen des US-amerikanischen Spam-Hosters McColo gekappt wurden, haben derartige Maßnahmen nur noch geringe und vor allem kurzzeitige Folgen für das globale Spam-Aufkommen. Damals brach der weltweite Spam-Versand innerhalb von 24 Stunden um mehr als 60 Prozent ein. Es dauerte bis Februar 2009, bis das Spam-Niveau vor der Abschaltung erreicht war.

Die Experten des eleven Research-Teams führen dies darauf zurück, dass die Botnet-Betreiber und Spam-Versender in der Folge der McColo-Abschaltung ihre Kapazitäten deutlich ausgebaut haben und sie gleichzeitig redundant und damit ausfallsicherer gestaltet haben. Vor allem die Kontrollstrukturen sind mittlerweile so ausgelegt, dass sie im Fall einer Ausschaltung innerhalb kürzester Zeit automatisch auf andere Server und andere Hoster wechseln können. Damit ist sichergestellt, dass eine Abschaltung der Kommandoserver wie im Fall von BredoLab nicht zu einem Totaleinbruch des Spam-Versands führt und die vollständige Botnet-Kapazität innerhalb kürzester Zeit wieder zur Verfügung steht. (eleven: ma)