Am gestrigen Mittwoch ist einem internationalen Ermittler-Team ein wichtiger Schlag gegen die organisierte Cyber-Kriminalität gelungen: Es kam zu Verhaftungen mehrerer Betreiber der Botnet-Gang Avalanche, die eine der größten Botnet-Infrastrukturen weltweit betreibt. Die Ermittler haben hunderttausende Domains und 39 Server beschlagnahmt, die im Zusammenhang mit dem Botnet zum Einsatz kamen.

Nach Angaben der an den Ermittlungen beteiligten Staatsanwaltschaft Verden ist der Erfolg das Resultat aus einer mehr als vier Jahre andauernden, grenzübergreifenden Ermittlungsarbeit, an der auch die Zentralinspektion Lüneburg, das FBI und weitere US-Behörden sowie Sicherheitsbehörden von 39 Staaten beteiligt waren. Die Ermittler konnten 16 Mitglieder der Avalanche-Führungsebene aus zehn Ländern identifizieren. Gegen sieben davon hat das Amtsgericht Verden Haftbefehl wegen verschiedener Tatbestände wie der Bildung einer kriminellen Vereinigung erlassen.

50.000 Zombie Rechner – allein in Deutschland

Zum Zeitpunkt des Zugriff sollen allein in Deutschland über 50.000 Rechner unter der Kontrolle der Gang gestanden haben. Den Tätern ging es vor allem um Geld: Laut Staatsanwaltschaft sollen sie Online-Banking-Nutzer durchschnittlich um mehr als 5000 Euro erleichtert haben. Der Staatsanwaltschaft liegen Anzeigen über 1336 Taten vor mit einer Schadenssumme von insgesamt etwa sechs Millionen Euro.

Die Täter waren mindestens seit 2009 aktiv und nutzten ihre Botnet-Infrastruktur zum Versand von Phishing- und Virenmails. Pro Woche sollen sie über eine Million Mails verschickt haben. Im Jahr 2010 war Avalanche für zwei Drittel aller Phishing-Angriffe verantwortlich. Die Ermittlungen begannen vor rund vier Jahren, nachdem die Online-Ganoven begonnen hatten, massenhaft Krypto-Trojaner zu verbreiten. Derzeit hat sich Avalance vor allem auf Online-Banking-Betrug spezialisiert, die Verbreitung von Erpressungs-Trojanern, Spam- und Phishing-Mails geht aber weiter.

Die folgenden Schädlinge wurden über Avalanche verteilt:



Andromeda/Gamarue

Bolek

Citadel

Corebot

Dofoil/Smokeloader

Gozi2

KINS/VMZeus

Marcher

Matsnu

Nymaim

Pandabanker

Ranbyus

Rovnix

Smart App

TeslaCrypt

Tiny Banker/Tinba

Trusteer App

URLzone/Bebloh

Vawtrak

Xswkit

4,5 Millionen Warnmeldungen an Kunden deutscher Provider

Die Rolle des BSI bei den Ermittlungen gegen die Avalanche-Gang (Bild: BSI)

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützte die Ermittlungen, indem es die Infrastruktur und die eingesetzte Malware analysierte. Dabei zeigte sich, dass rund zwanzig Botnets die Avalanche-Infrastruktur nutzen. Auf Grundlage der BSI-Informationen haben deutsche Provider seit 2014 über 4,5 Millionen Warnmeldungen über infizierte Systeme an die betroffenen Internetnutzer geschickt.

Das BSI setzt Sinkhole-Server ein, zu denen die Verbindungsanfragen der infizierten Rechner umgeleitet werden. So können die Opfer identifiziert und gewarnt werden. Um die Reinigung der versuchten Systeme müssen sich die Opfer jedoch selbst kümmern. Betroffen sind laut BSI vor allem Windows-Rechner und Android-Geräte, es könne jedoch nicht ausgeschlossen werden, dass auch Systeme mit iOS, Windows Phone, OS X oder Linux infiziert wurden. Das BSI hat eine umfangreiche FAQ zum Thema Avalanche zusammengestellt, in der unter anderem Betroffene erfahren, welche Auswirkungen die Infektion hat und wie die nächsten Schritte zur Absicherung aussehen sollten. (rei)