Microsoft: Gamarue war nicht nur Botnetz, sondern komplettes Produkt

Botnetz, Netz, Herbst, Spinne Bildquelle: Public Domain
Als Ermittler im vergangenen Jahr international gegen eine Botnetz-Infrastruktur namens Gamarue vorgingen, wurde im Grunde nur oberflächlich bekannt, womit man es hier eigentlich zu tun hatte. Wie Microsoft nun in einer ausführlicheren Analyse berichtet, war das auch als Andromeda bekannte System deutlich umfangreicher als bisher bekannt wurde.

BSI Botnetz InfrastrukturAndromeda-Stilllegung
Es dürften die berühmten ermittlungstaktischen Gründe gewesen sein, die die zuständigen Stellen dazu brachten nicht alle Details auf den Tisch zu legen. Inzwischen ist man hier aber etwas weiter und die Security-Experten Microsofts haben in ihrem jüngsten Security Intelligence Report eine Reihe weiterer Details bekannt gegeben. Denn es zeigt sich, dass Gamarue bei weitem nicht einfach nur ein normales Botnetz war.

Als Microsoft-Experten im Jahr 2015 mit der Analyse der Sache begannen, waren rund 44.000 Malware-Infektionen bekannt. Je genauer man hinsah, umso komplexer wurde die Angelegenheit aber. Denn es stellte sich heraus, dass Gamarue in erster Linie eine vielfältige Infrastruktur war, die auf dem Schwarzmarkt als Service angeboten wurde. Je nach Bedarf konnten hier für verschiedene Zwecke Botnetz-Kapazitäten und ergänzende Features angemietet werden.

Einmal Botnetz zum Mitnehmen bitte

Mit der Zeit zeigten sich auch Verbindungen zu anderen Malware-Kampagnen, die durch Gamarue erst in größerem Stil umgesetzt werden konnten. So wurde das System beispielsweise genutzt, um Ransomware-Trojaner wie Petya und Cerber erst einmal in größerem Stil per Spam unter die Leute zu bringen. In anderen Fällen wurden die Gamarue-Ressourcen aber auch für DDoS-Attacken eingesetzt.

Kriminelle konnten sich hier quasi auch die Software selbst per Lizenz kaufen, so dass die Sicherheits-Experten letztlich allein schon rund 1200 IP-Adressen von Kontroll-Servern an die Behörden übergaben, die dann für die Stilllegung dieser sorgten. Das von den Entwicklern vertriebene Basis-Paket enthielt dabei ein Modul, mit dem Rechner gekapert und in ein Botnetz eingegliedert werden konnten, hinzu kam ein PHP-basiertes Dashboard, über das die Steuerung der jeweiligen Infrastruktur erfolgte.

Wer wollte, konnte sich für 150 Dollar auch einen Keylogger hinzubuchen. Mit 250 Dollar etwas teurer war ein Formgrabber, der Eingaben in Web-Formulare abgriff und aus dem Browser herausholte. Der Leistungsumfang ging dann hoch bis zu einem Zusatzmodul, das schlicht "Teamviewer" genannt wurde und einen Komplettzugriff auf die Rechner der Opfer erlaubte.

Siehe auch: Kasse klingelt: XXL-Botnet zwingt Windows Server zum Crypto-Mining

Download Kaspersky Internet Security 2018 - Internet-Sicherheitssoftware Botnetz, Netz, Herbst, Spinne Botnetz, Netz, Herbst, Spinne Public Domain
Diese Nachricht empfehlen
Kommentieren1
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Video-Empfehlungen

Tipp einsenden