Rätselraten: Botnetz hinter Locky und Dridex ist plötzlich weg

"Wir können nur sagen, dass die Spam-Kampagnen zur Verbreitung von Dridex und Locky seit dem 1. Juni laut unseren Beobachtungen plötzlich aufgehört haben. Wir wissen bis jetzt aber nicht, warum sie plötzlich stillgelegt sind", erklärte Joonho Sa vom Sicherheits-Unternehmen FireEye gegenüber dem US-Magazin Vice.

Bei Dridex handelte es sich um einen Trojaner, der darauf ausgelegt war, Login-Daten für Online-Banking-Accounts zu stehlen. Locky ist hingegen wesentlich bekannter und war die größte Ransomware-Kampagne der vergangenen Monate. Sicherheitsforscher hatten bereits mehrfach vermutet, dass hinter beiden zumindest teilweise die gleichen Täter stecken.


Im Falle Dridex ist das Verschwinden der gesamten Infrastruktur natürlich durchaus zu begrüßen. Anders sieht es hingegen bei der Locky-Ransomware aus. Denn das Tool hat durch das verschwinden des Botnetzes nun auch keine Verbindung mehr zu seinen Kontroll-Instanzen. Dies bedeutet, dass Nutzer mit einem infizierten Rechner wohl auch nicht an den Key zum Entschlüsseln ihrer Daten kommen, wenn sie bereit sind, auf die Erpresser-Forderungen einzugehen.

Locky war allerdings auch schon seit Februar in verschiedenen Varianten aktiv und dürfte inzwischen nur noch relativ wenige Neuinfektionen verursacht haben. Durch das Verschwinden des Botnetzes gibt es außerdem aktuell keine neuen Spam-Wellen mehr, mit denen der Schadcode auf die Rechner der Nutzer gespült wird.

Über die Gründe der plötzlichen Ruhe können aktuell nur Vermutungen angestellt werden. Allerdings deckt sich die Sache mit Berichten aus Russland, wo die Behörden in einer größeren Aktion eine Gruppe von rund 50 Personen festgesetzt haben, die mit einem Trojaner namens Lurk diverse russische Banken und Unternehmen angriffen. Sie sollen dabei rund 25 Millionen Dollar erbeutet haben.