Europol zerschlägt mithilfe des BKA Botnet Ramnit

Es umfasste bis zu 3,2 Millionen infizierte Computer. Das BKA hat Teile der Infrastruktur in Deutschland deaktiviert. An den Ermittlungen waren aber auch Microsoft, Symantec und Behörden in Großbritannien, Italien und den Niederlanden beteiligt.

Das zu Europol gehörende European Cybercrime Centre (EC3) hat in einer gemeinsamen Operation mit Polizeibehörden in Deutschland, Großbritannien, Italien und den Niederlanden das Botnetz Ramnit zerschlagen. Das Netzwerk bestand aus rund 3,2 Millionen infizierten Computern. Das Bundeskriminalamt ging dabei gegen den in Deutschland gehosteten Teil der Netzinfrastruktur hervor.

Infografik zum Botnetz Ramnet (Bild: Symantec)

Die Betreiber des Botnets Ramnit hatten es laut BKA auf persönliche Daten wie Passwörter und Bankinformationen abgesehen. Die von ihnen verwendete Malware wurde über Links in E-Mails oder auch über bösartige Websites als Drive-by-Download verteilt.

„Die Malware gibt Kriminellen eine effektive Hintertür, sodass sie die Kontrolle über Ihren Computer übernehmen, auf Ihre Bilder zugreifen, Passwörter oder persönliche Daten stehlen und sogar weitere Spam-Nachrichten verteilen oder illegale Angriffe auf andere Websites starten können“, führt Steve Pye vom National Cyber Crime Unit (NCCU) der britischen Polizeibehörde National Crime Agency (NCA) dazu aus. „Es ist wichtig, dass Betroffene nun Maßnahmen ergreifen, um ihre Computer zu bereinigen und ihre persönlichen Daten zu schützen.“

Nach Angaben der britischen Behörden hat Microsoft Europol auf Ramnit aufmerksam gemacht, nachdem es eine Zunahme der Infektionen festgestellt habe. Laut Europol waren auch AnubisNetworks und Symantec an den Ermittlungen beteiligt. Im Rahmen der Operation wurden demnach zahlreiche Befehlsserver deaktiviert und mehr als 300 von den Ramnit-Betreibern benutzte Internet-Domains umgeleitet.

Erstmals sei Ramnit im Jahr 2010 als Wurm (W32.Ramnit) aufgetaucht, heißt es in einem Blogeintrag von Symantec. Im Lauf der Zeit habe sich die Malware jedoch weiterentwickelt und sei schließlich zum Aufbau eines Botnetzes benutzt worden. Die aktuelle Ramnit-Version (W32.Ramnit.B) nutze verschiedene Module des Trojaners Zeus, dessen Quellcode im Mai 2011 durchgesickert sei.

Ein Spionage-Modul überwache den gesamten Internetverkehr eines Opfers, so Symantec weiter. Es sei auch in der Lage, besuchte Banking-Websites zu manipulieren und zusätzliche Anmeldedaten wie Details von Kreditkarten abzufragen. Andere Ramnit-Module stehlen Cookies, um Browsersitzungen zu übernehmen, oder durchsuchen Festplatten nach vorgegebenen Ordnern, um vertrauliche Informationen zu stehlen.

BKA und Europol betonten in ihren Pressemitteilungen die Bedeutung einer internationalen Zusammenarbeit zwischen Behörden und Unternehmen. „Das Ausmaß dieses Botnetzes, die Anzahl von über drei Millionen Geschädigten sowie die Internationalität des kriminellen Handelns unterstreicht, wie wichtig schlagkräftige nationale wie internationale Kooperationen der Strafverfolgungsbehörden, aber auch Allianzen mit der Wirtschaft sind. Nur so können wir die Bürgerinnen und Bürger vor Cyberkriminellen schützen“, wird BKA-Präsident Holger Münch in einer Pressemitteilung zitiert.

Microsoft und Symantec bieten kostenlose Tools an, die eine Ramnit-Infektion erkennen und beseitigen können.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Cybercrime, Datendiebstahl, Europol, Hacker, Malware, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Stefan Beiersmann
Autor: Stefan Beiersmann
Freier Mitarbeiter
Stefan Beiersmann
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

4 Kommentare zu Europol zerschlägt mithilfe des BKA Botnet Ramnit

Kommentar hinzufügen
  • Am 26. Februar 2015 um 8:30 von Claus

    Nur Mut, in der BKA Nachricht stand schon etwas konkreter, um was für ‚Computer‘ es sich gehandelt hat: „This malware, infecting users running Windows operating systems, explored different infection vectors such as links contained in spam emails or by visiting infected websites.“ Wie auch die Klassifizierung als ‚W32.Ramnit‘ deutlich macht.
    Schon erstaunlich, dass man plötzlich von ‚3,2 Millionen Computern‘ anstatt von Windows PCs redet?

    • Am 26. Februar 2015 um 8:57 von Kai Schmerer

      Angesichts eines Windows-Marktanteils von über 90 Prozent dürften die meisten ZDNet-Leser davon ausgehen, dass es sich bei dem Botnetz nicht um einen Zusammenschluss von Macs handelt. Andererseits gab es ja auch schon mal ein Botnetz mit Macs.
      http://www.zdnet.de/41561508/botnetz-osx-flashback-der-mac-hat-seine-unschuld-verloren/

      • Am 26. Februar 2015 um 9:32 von Claus

        Ja, klar gibt es die auch, z.B. 2012 (in der Meldung damals sieht man sehr schön den Unterschied zu Windows/Microsoft, am 10. ging die Nachricht raus, am 13. hat Apple das Removal Tool zur Verfügung gestellt, am 14. April war die Anzahl infizierter Systeme bereits halbiert), aber soll ich mir nun die Mühe machen und nun meinerseits heraussuchen, wie oft bereits Microsoft Bot Netze aufgeflogen sind, und es dennoch immer neue gibt?

        Dass der 90% Marktanteil Windows für Betrüger interessanter macht, ist, wie bei Android, natürlich richtig, aber eben nicht der einzige Grund. Windows (und Android) machen es den Betrügern eben doch auch sehr leicht.

        Und deswegen sind dann eben auch deswegen überwiegend Windows Anwender betroffen.

        Obwohl 90% Windows nutzen, sollte man in einer solchen Meldung dann durchaus das betroffene Betriebssystem nennen. Dann können Linux und OS X Nutzer eben die Meldung ignorieren.

        • Am 27. Februar 2015 um 12:27 von Punisher

          Naja. Im Link vom Herrn Schmerer ist schön geschrieben. 1 % der Macs waren betroffen, während es hier nicht einmal ein halbes Prozent sein dürfte. Wenn man Sachen vergleicht, dann bitte richtig. Und wie lange das Botnetz auf den Macs gelaufen ist, ist auch unklar. Also wohl kaum Grund zu feiern und auf Windows zu zeigen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *