Forschern des europäischen Security-Herstellers Eset ist es in Zusammenarbeit mit Microsoft und mehreren Strafverfolgungsbehörden gelungen, das als «Gamarue» bekannte Botnet zu zerschlagen. Deren Malware trieb bereits seit September 2011 ihr Unwesen und infizierte zuletzt mehr als 1,1 Millionen Systeme pro Tag.
Am 29. November 2017 begann die koordinierte Aktion von Eset, FBI, Interpol, Europol und anderen, die zur Abschaltung des Botnets und der Inhaftierung der Drahtzieher führte. Um den Cyberkriminellen hinter Gamarue das Handwerk zu legen, stellten Security Forscher von Eset und Microsoft technische Analysen und Informationen, unter anderem über bekannte Command-and-Control (C&C) Server, zur Verfügung, um die Aktivitäten der kriminellen Gruppe beenden zu können. Eset teilte ausserdem durch jahrelanges Monitoring gesammelte Informationen über Gamarue und dessen Auswirkung auf betroffene Nutzer.
Malware als Bausatz aus dem Dark Web
Gamarue wurde seit September 2011 in Dark Web Foren als «Bausatz” verkauft. Cyberkriminelle konnten damit Zugangsdaten stehlen und weitere Schadsoftware auf den Rechnern der Opfer installieren. Die Malware-Familie zählt zu den konfigurierbaren Bots. Damit können eigene, spezifische Plugins erstellt und eingesetzt werden. Mit solchen Plugins können Cyberkriminelle auf den Rechnern der Opfer beispielsweise in Webformulare eingegebene Daten stehlen oder die kompromittierten Systeme sogar komplett übernehmen.
Gamarues Beliebtheit bei Cyberkriminellen führte dazu, dass im Laufe der Zeit mehrere voneinander unabhängige Botnetze entstanden. Eset konnte zeigen, dass Samples der Malware weltweit über soziale Netzwerke, Instant Messaging, Wechselmedien, Spam oder Exploit Kits verbreitet wurden.
Informationssammlung mit Eset Threat Intelligence
Mithilfe der Eset Threat Intelligence erstellten die Forscher einen Bot, der mit dem C&C-Server des Gamarue-Botnets kommunizierte. So konnten Eset und Microsoft die Aktivitäten von Gamarue über eineinhalb Jahre hinweg beobachten, die C&C-Server für die spätere Abschaltung identifizieren und feststellen, welche Schädlinge auf den Computern der Opfer installiert wurden. Zudem konnte eine Liste aller Domains erstellt werden, die von den Cyberkriminellen als C&C-Server verwendet wurden.
Eset Online Scanner hilft Betroffenen
Cyberkriminelle nutzten Gamarue ursprünglich dazu, Heimanwender anzugreifen und deren Eingaben in Webformulare zu stehlen. In letzter Zeit konnten Esets Forscher jedoch beobachten, dass die Malware dazu benutzt wurde, nach einem «Pay-per-Install»-Schema verschiedene Spam-Bots auf den Computern der Opfer zu installieren.