Acht Jahre Detailarbeit und Ermittlungen hat es gebraucht, bis Microsoft und seine Partner dem Spam-System „Necurs“ das Handwerk legen konnten.
Das Bot-Netzwerk „Necurs“ verbreitete keine Angst und keinen Schrecken — aber unzählige Spam-Mails. Jetzt gehört dieses Botnet der Vergangenheit an. Wie Microsoft in einem Blog-Eintrag bekannt gab, ist es dem Unternehmen gemeinsam mit Partnern gelungen, die volle Kontrolle über das Netzwerk zu erlangen und dessen Infrastruktur vollständig zu verstehen. „Necurs“ war mit einem Verbund aus 9 Millionen Rechnern weltweit dafür verantwortlich, Login-Daten zu stehlen, Ransomware zu verbreiten, Spam-Mails zu versenden und Cryptomining zu betreiben.
Internationale Kooperation auf höchstem Niveau
Die Operation beschäftigte Microsoft über acht Jahre. Gemeinsam mit Partnern aus rund 35 Ländern ermittelte man in alle Richtungen und verfolgte jeden Hinweis auf die Betreiber des Netzwerks.
Nach langer Arbeit gelang es schliesslich, das Prinzip zu entschlüsseln, nach dem die Hintermänner von „Necurs“ neue Domains erzeugten. Microsoft und seine Partner registrierten daraufhin binnen zwei Jahren über sechs Millionen Domains bei verschiedenen Registraren — um sie dem Zugriff von „Necurs“ zu entziehen. Direkt nach der Registrierung wurden diese Domains von den zuständigen Stellen gesperrt. Dem Bot-Netzwerk wurde damit buchstäblich das Werkzeug aus der Hand genommen.
Im Anschluss erklärte sich Microsoft bereit, künftig enger mit internationalen Internet-Providern und staatlichen Stellen wie den CERTs zusammenzuarbeiten — um infizierte Rechner weltweit von den Hinterlassenschaften von „Necurs“ zu bereinigen.
Hintergründe zum Botnet Necurs
Das Botnet „Necurs“ tauchte erstmals Anfang 2012 auf dem Radar der IT-Ermittler auf. Besonders war die Verbindung von über sechs Millionen Zombie-Rechnern, die dazu genutzt wurden, Banking-Trojaner einzuschleusen oder Ransomware per E-Mail gleichzeitig an Millionen von Nutzern zu versenden. Schnell wurde klar, dass „Necurs“ für einen erheblichen Teil der Internet-Kriminalität und die damit verbundenen finanziellen Schäden verantwortlich war. Internen Berichten zufolge schätzte man den bis 2021 verursachten Schaden auf rund 6 Billionen US-Dollar.
„Necurs“ betrat das Netz 2012 mit einem lauten Knall: Rund 83’000 Attacken auf Rechner weltweit wurden verzeichnet. Den Ermittlern war schnell klar, dass die Hintermänner zur absoluten IT-Elite gehörten — vertraut mit Betriebssicherheit und vernetzt in kriminellen Strukturen Osteuropas.
Zu Beginn konzentrierte sich „Necurs“ auf eine Dot-Bit-Domain, über die ein Peer-to-Peer-Netzwerk aufgebaut wurde, das sich der Nachverfolgung hartnäckig entzog. Die verwendete Bit-Top-Level-Domain wurde ausserhalb des Domain-Namen-Systems erstellt — eine Steuerung durch die Internet Corporation for Assigned Names and Numbers (ICANN) war damit ausgeschlossen.
In den Folgejahren baute „Necurs“ ein Netzwerk aus infizierten Computern auf, die aus der Ferne gesteuert und für kriminelle Zwecke eingesetzt wurden. Besondere Bekanntheit erlangte dabei der GameOver Zeus Trojaner, der den Bankensektor erheblich in Aufruhr versetzte.
Die Dimension macht eine interne Microsoft-Untersuchung greifbar: Ein einziger mit Necurs infizierter Rechner versendete binnen 58 Tagen 3,8 Millionen Spam-Nachrichten an rund 40,6 Millionen Personen in verschiedenen Ländern.
Die Behörden gehen derzeit davon aus, dass das Botnet von Cyberkriminellen aus Russland betrieben wurde. Fest steht, dass das Netzwerk für zahlreiche Straftaten im Cyberspace eingesetzt wurde: Pump-and-Dump-Betrug, Spam aus dem Pharmabereich, das Abgreifen von Login-Daten für Online-Konten sowie die Verbreitung von Ransomware. Aussergewöhnlich war auch das Geschäftsmodell dahinter — infizierte Rechner wurden an andere Kriminelle weitervermietet oder -verkauft (Botnet-for-hire). Interessant für IT-Spezialisten: Die vorhandenen DDoS-Funktionen wurden über all die Jahre nie aktiviert.