- Anzeigen -


Malware als Bausatz aus dem Dark Web


Erfolgreicher Schlag gegen Cyberkriminelle: Eset hilft, massives Botnet abzuschalten
Zusammen mit Microsoft und Strafverfolgungsbehörden gelingt es, das Botnet "Gamarue" zu zerschlagen

- Anzeigen -





Forschern von Eset ist es in Zusammenarbeit mit Microsoft und mehreren Strafverfolgungsbehörden gelungen, das als "Gamarue" bekannte Botnet zu zerschlagen. Deren Malware (von Eset als Win32/TrojanDownloader.Wauchos erkannt) trieb bereits seit September 2011 ihr Unwesen und infizierte zuletzt mehr als 1,1 Millionen Systeme pro Tag. Am 29. November 2017 begann die koordinierte Aktion von Eset, FBI, Interpol, Europol und anderen, die zur Abschaltung des Botnets und der Inhaftierung der Drahtzieher führte.

Um den Cyberkriminellen hinter Gamarue das Handwerk zu legen, stellten Security Forscher von Eset und Microsoft technische Analysen und Informationen, unter anderem über bekannte Command-and-Control (C&C) Server, zur Verfügung, um die Aktivitäten der kriminellen Gruppe beenden zu können. Eset teilte außerdem durch jahrelanges Monitoring gesammelte Informationen über Gamarue und dessen Auswirkung auf betroffene Nutzer.

Gamarue wurde seit September 2011 in Dark Web-Foren als "Bausatz” verkauft. Cyberkriminelle konnten damit Zugangsdaten stehlen und weitere Schadsoftware auf den Rechnern der Opfer installieren. Die Malware-Familie zählt zu den konfigurierbaren Bots. Damit können eigene, spezifische Plugins erstellt und eingesetzt werden. Mit solchen Plugins können Cyberkriminelle auf den Rechnern der Opfer beispielsweise in Webformulare eingegebene Daten stehlen oder die kompromittierten Systeme sogar komplett übernehmen.

Gamarues Beliebtheit bei Cyberkriminellen führte dazu, dass im Laufe der Zeit mehrere voneinander unabhängige Botnetze entstanden. Eset konnte zeigen, dass Samples der Malware weltweit über soziale Netzwerke, Instant Messaging, Wechselmedien, Spam oder Exploit Kits verbreitet wurden.

Informationssammlung mit Eset Threat Intelligence
Mithilfe der Eset Threat Intelligence erstellten die Eset Forscher einen Bot, der mit dem C&C-Server des Gamarue-Botnets kommunizierte. So konnten Eset und Microsoft die Aktivitäten von Gamarue über eineinhalb Jahre hinweg beobachten, die C&C-Server für die spätere Abschaltung identifizieren und feststellen, welche Schädlinge auf den Computern der Opfer installiert wurden. Zudem konnte eine Liste aller Domains erstellt werden, die von den Cyberkriminellen als C&C-Server verwendet wurden.

"In der Vergangenheit war Wauchos bei Eset Nutzern die am häufigsten blockierte Malware-Familie. Deshalb war es für uns gar keine Frage, dass wir uns an der Aktion beteiligen, um unsere Nutzer und die gesamte Öffentlichkeit zu schützen", erklärt Jean-Ian Boutin, Senior Malware Researcher bei Eset. "Diese Bedrohung gibt es nun schon seit einigen Jahren. In dieser Zeit hat sie sich immer wieder weiterentwickelt – was es besonders schwierig macht, sie konstant zu beobachten. Dank Eset Threat Intelligence und der engen Zusammenarbeit mit Microsoft konnten wir jedoch allen Änderungen auf der Spur bleiben und fortlaufend Daten von unschätzbarem Wert für die Abschaltung zur Verfügung stellen."

Cyberkriminelle nutzten Gamarue ursprünglich dazu, Heimanwender anzugreifen und deren Eingaben in Webformulare zu stehlen. In letzter Zeit konnten Esets Forscher jedoch beobachten, dass die Malware dazu benutzt wurde, nach einem "Pay-per-Install"-Schema verschiedene Spam-Bots auf den Computern der Opfer zu installieren. (Eset: ra)

eingetragen: 17.12.17
Home & Newsletterlauf: 18.01.18


Eset: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Unternehmen

  • Sichere 5G-Umgebung

    Trend Micro gibt eine Zusammenarbeit mit NTT Docomo, einer japanischen Mobilfunkanbieterin, bekannt. Die Unternehmen entwickeln gemeinsam eine Sicherheitslösung, die die Anforderungen des 5G-Zeitalters erfüllt. Die neue Netzwerksicherheitslösung, die speziell für die Absicherung von virtualisierten Netzwerkfunktionen und der Cloud entwickelt wurde, befindet sich aktuell in der technischen Prüfung. Die Lösung basiert auf der kürzlich vorgestellten "Trend Micro Virtual Network Function Suite" (VNFS) auf NTT Docomos "Docomo 5G Open Cloud". Die Docomo 5G Open Cloud ist eine 5G-Testumgebung, die NTT Docomo ihren Partnern zur Entwicklung neuer Lösungen für die 5G-Ära zur Verfügung stellt. Bei Trend Micro VNFS handelt es sich um eine Netzwerksicherheitslösung, die Schutzfunktionen in virtualisierten Umgebungen wie Network Function Virtualization und der Cloud bereitstellt und die notwendigen Sicherheitsfunktionen für jedes einzelne IoT-Gerät dynamisch anwenden kann.

  • Mehr Privatsphäre im Netz - dank VPN-Zugang

    BullGuard gab eine Partnerschaft mit dem VPN-Dienst NordVPN bekannt. Die beiden Unternehmen wollen ihr technisches Know-how bündeln und gemeinsam Technologien entwickeln, die Endverbrauchern umfassende Lösungen im Bereich Cybersecurity bieten. "BullGuard VPN", das erste Produkt der Partnerschaft, wird Anfang 2019 auf den Markt kommen. "Cybersecurity hat sich bisher darauf konzentriert, Verbraucher und ihre Geräte vor Online-Bedrohungen zu schützen. Inzwischen stellen Cyberkriminelle aber auch eine Bedrohung für die Privatsphäre der Verbraucher dar. Um Anwender heutzutage angemessen zu schützen, müssen Sicherheit und Datenschutz gleichermaßen berücksichtigt werden", erklärt Paul Lipman, CEO von BullGuard. "Die Partnerschaft mit NordVPN ermöglicht es uns, eine erstklassige VPN-Netzwerkinfrastruktur bereitzustellen, mit der unsere Kunden ihre Online-Privatsphäre nahtlos schützen können - egal, ob auf dem Desktop oder dem Smartphone, egal an welchem Ort."

  • Komplexe Angriffe stoppen

    Bitdefender hat die Übernahme des niederländischen Unternehmen RedSocks Security BV bekanntgegeben. RedSocks ist Spezialistin für Sicherheitsanalysen auf der Basis von User-Verhalten und Netzwerkvorkommnissen. Die Akquisition findet im Rahmen von Bitdefenders Strategie für Fusionen und Firmenzukäufe statt. Es stellt eine strategische Investition in das Bitdefender-Portfolio dar, das somit um die Bereiche Netzwerksicherheit und Analytik erweitert wird. Mit dem Zukauf macht Bitdefender einen weiteren Schritt auf ihrem Wachstumskurs und erweitert den Markt, den das Unternehmen mit seinen Lösungen adressieren kann.

  • Cloud- und Datacenter-Umgebungen

    GuardiCore, Anbieterin für Rechenzentrums- und Cloud-Sicherheit, hat es auf die Cool-Vendor-Liste 2018 geschafft, die das US-Marktforschungsinstitut Gartner jährlich erstellt. Mit der "Cool Vendor List" hebt Gartner außergewöhnliche Anbieter hervor, die aufgrund ihres hohen Marktpotentials beobachtet werden sollten. Zu den bisherigen Cool Vendors zählten beispielsweise der Cloud-Dienst Dropbox, die Social-Media-Plattform für Fotos und Videos Instagram und der Online-Marktplatz für private Reiseunterkünfte Airbnb.

  • Regulierung im Bereich Cyber Security

    "Zum Schutz vor internationalen Cyberattacken brauchen wir ein gemeinsames Bekenntnis der Staatengemeinschaft, um Angriffe zu ächten und gegebenenfalls mit Sanktionen zu belegen" forderte Andreas Krautscheid, Hauptgeschäftsführer des Bankenverbandes auf der Veranstaltung "In Abwehr vereint? - Cyberstrategien von Staat und Wirtschaft" in Berlin."Die Bedrohungen durch Cyberkriminalität nehmen tagtäglich zu", betonte Krautscheid, "besonders sensibel sind die kritischen Infrastrukturen, zu denen auch die Banken gehören. Wir sind uns hier einer besonderen Verantwortung bewusst: Nicht nur für unsere Kunden, sondern aufgrund der zentralen Funktion von Banken für jede Volkswirtschaft."