Facebook bekämpft Facebook-Botnet

Das Lecpetex-Botnet ist offline. Das Sicherheitsteam von Facebook berichtet, dass man erfolgreich dazu beigetragen hat, das Netzwerk aus bis zu 250.000 infizierten Rechnern abzuschalten. Warum Facebook ein Interesse daran hat, gegen das Botnetz vorzugehen, ist klar: Einer der von Lecpetex eingesetzten Schädlinge übernimmt das Facebook-Konto seines Opfers und versucht, sich über private Nachrichten weiter zu verbreiten.

Laut dem Facebook-Bericht ließen sich die Botnet-Betreiber einiges einfallen, damit ihre Malware nicht nur möglichst viele Rechner infiziert, sondern anschließend auch möglichst lange unentdeckt bleibt. Etwa veränderten sie ihre Schädlinge ständig, um den Herstellern von Antiviren-Software stets einen Schritt voraus zu sein. Diese Updates verteilten sie über das Botnet auch an die bereits infizierten Systeme.

Digitales Geld

Die wichtigste Einnahmequelle war für die Kriminellen das Schürfen von Litecoins, einer digitalen Krypto-Währung ähnlich den Bitcoins. Dazu verteilten sie verschiedene Mining-Tools auf den infizierten Rechnern, die dann deren Rechenleistung missbrauchten, um Litecoins zu schürfen.

Außerdem nutzten sie das Remote-Adminstration-Toolkit (RAT) DarkComet, um sich Vollzugriff auf die Rechner zu verschaffen.

Ermittlungserfolg

Lecpetex war mindestens seit 2013 aktiv und hat vor allem in Griechenland, Polen, Norwegen, Indien, Portugal, und den USA zugeschlagen. Es gab aber auch Fälle in Deutschland. Nachdem Facebook Ende April die griechische Polizei eingeschaltet hatte, konnte diese vor wenigen Tagen zwei Personen festnehmen die hinter Lecpetex stecken sollen.

Anscheinend haben die Botnet-Betreiber geahnt, dass ihnen jemand auf den Fersen ist: Sie hinterließen im Frühjahr auf der Steuerkonsole des Botnets Botschaften wie “no fraud here.. only a bit of mining. Stop breaking my ballz". (rei)