Völlig unvermittelt hat sich kürzlich eines der größten kriminellen Botnets der Gegenwart in Luft aufgelöst. Das Ende des Netzes mit dem Namen Necurs ist eine gute Nachricht: Denn bei Botnets handelt es sich um riesige Netzwerke, mit denen Hacker die Rechenleistung zahlreicher verbundener einzelner Computer nutzen, um DDoS-Attacken oder andere Angriffe mit Schadsoftware zu starten. Oft werden auch Rechner Unbeteiligter als Teil dieser ferngesteuerten Botnets gekapert.

Nun berichten mehrere Sicherheitsexperten von einem drastischen Aktivitätseinbruch von zwei der aktuell berüchtigsten Schadsoftwares, die sich des Botnets bedienten, um so Schaden bei hunderttausenden Internet-Nutzern weltweit anzurichten.

„Wir können bestätigen, dass die Dridex- und Locky-Spam-Kampagnen unserer Beobachtung nach seit dem 1. Juni völlig aufgehört haben. Wir können aber nicht sicher sagen, wie und wieso das Botnet zusammengebrochen ist”, erklärte der Sicherheitsexperte Joonho Sa von der Firma FireEye gegenüber Motherboard in einer E-Mail.

Mit der Malware Direx werden gewöhnlich Bankkonten geleert. Locky ist eine besonders weit verbreitete und lästige Form der Ransomware, die die Dateien seiner Opfer verschlüsselt, bis sie eine stattliche Summe in Bitcoin an den Erpresser zahlen. Zu Spitzenzeiten infizierte Locky 60.000 Rechner am Tag allein in Europa, unter anderem waren dabei auch Krankenhäuser betroffen. Die gezielte Verbreitung beider Malware-Items wurde in der Vergangenheit miteinander in Verbindung gebracht.

Ransomware in der Kardiologie: Deutsche Krankenhäuser müssen faxen, bis der Arzt kommt

Nachdem die Infrastruktur hinter Locky scheinbar offline gegangen ist, ist nicht ganz klar, was mit den Opfern von Locky geschieht. Möglicherweise können Infizierte nun nicht mehr so einfach das Lösegeld an die Kriminellen überweisen, um ihre Dateien wieder zu befreien.

Als Locky im Februar dieses Jahres erstmals auftauchte, beschrieb der Sicherheitsexperte Kevin Beaumont die Macht des Tools in nahezu ehrfürchtigen Worten: „Der Einsatz von Locky war ein kriminelles Meisterstück—die Infrastruktur ist hochentwickelt, es wurde am Montag in kleiner Stückzahl quasi in der Wildnis ausgesetzt und beta-getestet; anschließend ist die Ransomware dann auch noch in viele Sprachen übersetzt worden. Kurzum: das war alles gut geplant.”

Im Oktober 2015 gingen das FBI, die britische National Crime Agency und andere Strafverfolgungsbehörden zwar gegen die Malware Dridex vor. Die Ermittler konnten ihre Verbreitung aber nicht stoppen.

Nachdem das Necurs-Botnet verschwunden war, schrieb Beaumont Motherboad in einer Twitter-Nachricht: „Wir beobachten seitdem einen dramatisch einbrechenden Traffic. Locky ist komplett verschwunden.” Ein weiterer Hinweis auf ein Ende der Ransomware: Es seien keine neuen Command and Control-Server—die Hacker benutzen, um den Überblick über ihre Botnets zu wahren und sie zu steuern—aufgetaucht. Beaumont glaubt, dass Necurs das größte Botnet der Welt war.

Hinweise Reuters Trojaner namens Lurk mit Strafverfolgungsbehörden kooperiert

Weshalb Necurs verschwunden ist, bleibt also vorerst ein Rätsel.