Retadup: Französische Polizei jagt Monero-Botznetz hoch

Die Cybercrime-Abteilung C3N (Centre de lutte contre les criminalités numériques) der französischen Nationalpolizei Gendarmerie hat ein Krypto-Miner-Botnetz ausgeschaltet, das weltweit mehr als 850.000 Computer infiziert hatte. Die Malware namens Retadup war vor allem in Lateinamerika verbreitet und scheint eine Vorliebe für leistungsfähige Rechner mit Mehrkern-CPU gehabt zu haben. Auf den infizierten Rechnern schürfte der Schadcode verdeckt die Kryptowährung Monero. Die Gendarmerie fand die Kommando-Server für das Botnetz in einem Pariser Vorort und schaltete sie ab. Mit der Hilfe des FBI gelang es den Beamten, einen eigenen Kommando-Server aufzusetzen und den Traffic des Botnetzes darauf umzuleiten. So schafften sie es, dem Schadcode auf den infizierten Rechnern den Befehl zu geben, sich selbst unschädlich zu machen.

Avast findet auffälligen Server

Den Hinweis auf die Pariser Server hat das C3N der Sicherheitsfirma Avast zu verdanken. Diese hatte im Frühjahr einen Server entdeckt, der den Retadup-Schadcode an hunderttausende Systeme in mehr als hundert Ländern verschickt hatte. Die Kriminellen hatten per E-Mail versucht, Windows-Nutzer unter dem Vorwand von einfach verdientem Geld oder pornografischem Material dazu zu bekommen, den Trojaner auszuführen. Der Hinweis auf den Spam-Server führte die französischen Polizisten schließlich zu den Kontrollservern der Malware. Die Drahtzieher hinter Retadup sollen mit ihrer Masche seit 2016 mehrere Millionen Euro verdient haben und befinden sich nach wie vor auf der Flucht, wie die BBC berichtet.

Der Schadcode, der insgesamt auf über 850.000 Computern Rechenleistung abgezweigt und heimlich Monero gescheffelt hatte, ist nun stillgelegt und das Botnetz der unbekannten Kriminellen ist somit zerschlagen. Die Gendarmerie zeigte sich nach der Aktion zufrieden und gab zu bedenken, dass neben den Unannehmlichkeiten für die Opfer auch die Gefahr von DDoS-Angriffen zu beachten gewesen sei. "850.000 infizierte Rechner stellen eine massive Feuerkraft dar, mit der man so ziemlich jede Webseite des Planeten hätte lahmlegen können", so ein Sprecher des C3N gegenüber dem Radiosender France Inter.

Versteckte Gelddruck-Maschinen

Das verdeckte Schürfen von Krypto-Währung scheint also nach wie vor immer noch lukrativ genug zu sein, um es im großen Stil zu betreiben. Im Gegensatz zu Erpressungstrojanern sind die Kriminellen hier nicht auf die Mithilfe der Opfer angewiesen. Monero ist besonders beliebt, da es sich nach wie vor in brauchbaren Mengen unter CPU-Einsatz schürfen lässt und die Währung gegenüber Konkurrenz-Coins eine relativ hohe Pseudonymisierung verspricht. Da die Kriminellen quasi kostenlos mit der Hardware und dem Strom anderer schürfen, scheint ihnen auch der relativ stark fluktuierende Kurs der Währung mitunter egal zu sein. (fab)