Seit Anfang Juni ist das Necurs Botnet spurlos verschwunden. Dieses wurde für den Trojaner Locky und die Malware Dridex verwendet. Sprichwörtlich von einem Tag auf den anderen war es weg. Dabei war das Botnet eines der größten Netze die je zur Verteilung von Schadcode benutzt und mit dem Millionen Euro “erwirtschaftet” wurden.
Da keiner, natürlich bis auf die Betreiber, genaues weiß, kann über dessen Verschwinden nur spekuliert werden. Auch ist es völlig offen ob alle Opfer ihre verschlüsselten Daten je wieder freikaufen können. Die Betreiber waren sehr professionell und wussten genau was sie taten, denn alle Versuche die Kontrolle über die C&C Server zu bekommen wurden abgeblockt. Aus diesem Grund ist es fast schon mysteriös, warum das Botnet auf einmal verschwunden ist. Besonders durch den professionellen Auftritt der Hacker hinter dem Botnet, fällt es schwer eine Erklärung zu finden, warum es so plötzlich verschwunden ist und somit eröffnet sich der Weg zu Spekulationen.
Geht man vom professionellen Ansatz der Hacker Gruppe aus, so ist es eher unwahrscheinlich, dass es ein Versehen war die C&C Server abzustellen. Auch kann man nicht davon ausgehen, dass eine staatliche Organisation wie ein FBI & Co. dafür verantwortlich ist. Denn das hätte diese dann sehr medienwirksam Kund getan, da man ja gerne Erfolge vorzeigen möchte. Wenn eine gegnerische Hacker Gruppe sich dem Netz bemächtigt hätte, dann wäre der Traffic ja nicht einfach so abgeebbt. Diese konkurrierende Gruppe hätte das übernommene Netz ja schließlich für ihre Zwecke weiter benutzt. Was sollte es sonst für einen Sinn ergeben, sich die ganze Arbeit der Übernahme zu machen und dann nicht den Nutzen davon zu haben. Zumal es für eine gegnerische Gruppe gleich zwei Siege wären, den anderen was weg zu nehmen und gleichzeitig noch mehr Profit aus der Aktion zu schlagen. Wenn man dieser Argumentation folgt, dann kommt man zum möglichen Schluss, die Gruppe hat das Netz mit Absicht selbst deaktiviert.
Ein solches Vorgehen ist in der IT nicht ganz unbekannt und wird vermehrt in virtuellen Umgebungen genutzt. Hier hat man in kürzester Zeit ein paar virtuelle Maschinen für ein Proof of Concept ausgerollt. Adaptiert auf das Internet und den Schadcode mit den C&C Servern trifft das auch zu. Die Hacker kümmert es nicht Millionen von Nutzen mit dem angerichteten Schaden zurückzulassen, genau wie es einen Admin nicht kümmert die PoC VM mit einem ‘delete from disk’ wieder los zu werden, wenn sie ihren Zweck erfüllt haben. Das wiederum würde jetzt bedeuten die Ransomware Locky und der Banking Trojaner Dridex in Verbindung mit dem Botnetz waren nur ein groß angelegter Feldversuch. So konnte in der wirklichen Welt getestet werden, wie sich ein solch großes Botnetz verhält, welche Probleme es ab bestimmter Größen mit der Koordination und Verwaltung gibt. Vor allem konnte getestet werden, wie die Gegenmaßnahmen der ISP’s, Hosting Provider oder der Behörden aussehen. Ein weiteres Ergebnis war auch die Erkenntnis wie leicht sich der Schadcode verbreiten konnte und wie schlecht es im allgemeinen um die IT Sicherheit bestellt ist.
Nimmt man dies alles zusammen, dann war Locky und Direx in der Version 0.9 nur ein Testballon für das was noch kommen wird. Vor allem wird das was als Nachfolger kommt, noch heftiger. Aber es wundert auch nicht wirklich wie einfach ein solch großes Netz aufgebaut werden konnte. Es gibt viel zu viele Server im Internet die durch mangelhafte Pflege und Inkompetenz der Betreiber dies erst ermöglichen. Den kriminellen wird es viel zu einfach gemacht.
Betrachtet man hier nur Server die WWW-Dienste im Internet anbieten, muss man sich sowieso wundern, dass nicht noch viel mehr passiert. Schaut man sich hier nur die vRoot oder Root WebServer der Hosting Provider an, auf die jeder mit oder ohne Ahnung irgendwelche WebApplikationen betreibt, ergibt sich ein erschütterndes Bild. Seit Jahren ungepatchte CMS und WebShops, nicht aktualisierte Plugins, keine Patches auf den Betriebssystemen! Die Devise ist wohl eher weil’s ja auch so geht und nur “schön” aussehen muss. Dazu kommt noch keine Ahnung von Programmierung zu haben und vor allem davon wie man sicheren Code schreibt, es werden einfach Codeschnipsel, Plugin und fertige Codeblocks ergooglet und verwendet. Diese “Hauptsache es geht” Mentalität ist einfach nur dumm und ist vor allem einer der Haupgründe, warum es um die Sicherheit so schlecht bestellt ist. Ganz vorne sind da die Agenturen, die vom Papier kommen und der Meinung sind es in der digitalen Welt auch zu können. Wenn diese mal alle wüssten was sie da wirklich tun, wären allen geholfen. Dazu kommen noch die Freizeitadmins und die ganze Welt des Internet of Things (IoT), wo es schon zur großem Kunst gehört auf der Fritzbox & Co. einen Port Forward hinzubekommen. Aber nicht wissen, was es wirklich bedeutet so etwas zu konfigurieren.
Es wird in Zukunft noch viel schlimmer mit (D)DoS Attacken, Botnetzen und Cyber Angriffen insbesondere mit den ganzen Folgen von Datendiebstahl und der Manipulation von IT Systemen.