Locky und Dridex: Der Fall des verschwundenen Botnetzes
Hinter dem Erpressungstrojaner Locky und der Banking-Malware Dridex stand das sogenannte Necurs-Botznetz. Das scheint seit Anfang des Monats spurlos verschwunden zu sein.
Verbreitung infizierter Necurs-Rechner vor dem Verschwinden des Botnetzes.
(Bild: Kevin Beaumont)
- Fabian A. Scherschel
Das Necurs-Botnetz war laut Sicherheitsforschern das größte zur Verteilung von Schadcode genutzte Botnetz aller Zeiten. Die berüchtigte Bande hinter Dridex und Locky nutzte es, um eine Armee aus infizierten Rechnern mit Verschlüsselungstrojanern und Banking-Malware zu kontrollieren. Jetzt ist das Botnetz spurlos verschwunden und niemand weiß wieso. Anfang des Monats hatten Sicherheitsforscher festgestellt, dass ein großer Teil des weltweiten Malware-Traffics auf einmal abgeflacht war.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Inhalt geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Mit dem berüchtigten Banking-Trojaner Dridex und der Ransomware Locky hat die Gang hinter dem Botnetz Millionenbeträge abkassiert. Sowohl beim Verschlüsseln von Rechnern ihrer Opfer als auch beim Ausräumen von Konten per Malware ging die Bande äußerst professionell vor und umging geschickt mehrere Versuche, ihre Kontroll-Infrastruktur abzuschalten. Umso mysteriöser ist es, dass das Botnetz nun auf einen Schlag verschwunden zu sein scheint. Locky ist seit dem Abschalten der Command & Control Server nicht mehr aktiv. Ob Opfer des Trojaners nach wie vor ihre Rechner freikaufen können, ist fraglich.
Zu der Frage warum das Botnetz verschwunden ist, gibt es nur Spekulationen. Das Netzmagazin Vice führt an, dass der russische Inlandsgeheimdienst FSB am selben Tag, als der Rückgang des Malware-Traffics beobachtet wurde, eine Gruppe von 50 Hackern festgenommen habe. Diese sollen über 1,7 Milliarden Rubel (umgerechnet über 23 Millionen Euro) zusammengeklaut haben. Diese sollen allerdings einen Trojaner namens Lurk gesteuert haben und Sicherheitsforscher, die mit der russischen Polizei zusammenarbeiten, bezweifeln einen Zusammenhang zwischen der Festnahme und dem Dridex/Locky-Botnetz. (fab)
