Andromeda-Schadsoftware: Deutsche Ermittler schalten riesiges Botnetz aus

Kooperation mit dem FBI Deutsche Ermittler schalten mächtiges Botnetz aus

Eine Armee von infizierten Computern, ferngesteuert von Kriminellen, verbreitete auf der ganzen Welt eine Schadsoftware namens "Andromeda". Nun ist deutschen Ermittlern ein entscheidender Schlag gelungen.

04.12.2017, 17.21 Uhr

Computertastatur
Foto: Nicolas Armer/ dpa

Ermittler aus 25 Ländern haben ein gefährliches Botnetz lahmgelegt. An der Aktion, die sich gegen die Schadsoftware "Andromeda" richtete, waren maßgeblich die Ermittler der Zentralen Kriminalinspektion Lüneburg unter Sachleitung der Staatsanwaltschaft Verden (Aller) sowie die US-Bundespolizei FBI beteiligt.

Die Schadsoftware "Andromeda" wird zum einen durch E-Mails verteilt, die getarnte Links zu Schadsoftware enthalten. Wenn Anwender auf einen solchen Link klicken, starten sie den Download eines infizierten Dokuments. Die Nutzer können ihren Rechner aber auch über sogenannte Drive-by-Exploits infizieren. Dabei setzen die Angreifer vor allem manipulierte Werbebanner oder Websites ein, auf denen vor allem für zweifelhafte Inhalte wie Pornografie oder illegales Videostreaming geworben wird.

Die Schadsoftware ist unter anderem in der Lage, einen Banking-Trojaner nachzuladen, der auf den Rechner des Opfers zugeschnitten ist. Den Tätern sei es mit der Schadsoftware in den vergangenen Jahren gelungen, mehrere Millionen Windows-PC zu infizieren. Die Hauptangriffsziele waren Nordamerika, Asien und in Europa vor allem Rumänien, Italien, Deutschland und Polen.

Vor etwa einem Jahr hatte es einen ähnlichen Ermittlungserfolg gegeben, damals gegen das Botnetz rund um die Schadsoftware "Avalanche".

Ohne Cyberalarm: Die Welt der Hacker - endlich verständlich Von Markus Böhm, Jörg Breithut, Angela Gruber und Judith Horchert

Bei der Aktion gegen "Andromeda" analysierten die Experten die Struktur des Netzwerks und konnten die relevanten Knotenpunkte identifizieren. Nach Angaben der niedersächsischen Behörden führten Ermittlungen des FBI zu einem Verdächtigen in Weißrussland, der dort vor etwa einer Woche festgenommen wurde. Zudem schalteten die Ermittler sieben Steuerungsserver in sechs Ländern ab.

Gleichzeitig konnten die Ermittler die Kontrolle über 1500 Internet-Adressen (Domains) übernehmen, über die die Schadsoftware bösartige Software-Komponenten nachlädt. Dadurch habe man Ende November an einem einzigen Tag 1,35 Millionen IT-Systeme identifiziert, die mit der "Andromeda"-Schadsoftware befallen waren. Die betroffenen PC-Besitzer werden nun benachrichtigt.

Anmerkung: Wir haben einen Link zu einem Sicherheits-Check entfernt, der für den aktuellen Fall von Schadsoftware nicht mehr relevant ist.

gru/dpa