Das vergangenen September auf Initiative von Microsoft geschlossene Botnetzt Kelihos ist erneut aktiv. Wie Maria Gernaeva vom Sicherheitsunternehmen Kaspersky in einem Blogeintrag schreibt, wurde schon kurz nach der Schließung am 28. September eine neue Variante entdeckt, die dem Original sehr ähnlich ist.
Das ursprüngliche Kelihos-Botnetz bestand aus rund 41.000 infizierten Computern weltweit. Es war in der Lage, täglich rund 3,8 Milliarden Spam-E-Mails zu verschicken. In diesen wurde unter anderem für Medikamente und Websites mit kinderpornografischen Inhalten geworben. Die Betreiber des Botnetztes sollen zudem falsche Börsennachrichten verbreitet sowie E-Mails und Passwörter abgegriffen haben.
Um das Botnetz abzuschalten, setzten Microsoft und Kaspersky eine relativ neue Methode ein: Sie brachten die einzelnen infizierten Rechner – sogenannte Zombies – dazu, ihre Instruktionen von Computern zu erhalten, die von den Firmen kontrolliert wurden. Dadurch konnte das Botnetz relativ schnell deaktviert werden, ohne die Kontrolle über die Infrastruktur übernehmen zu müssen. „Allerdings ist diese Methode nicht sonderlich effektiv, wenn die Botnetz-Betreiber weiterhin auf freiem Fuß sind, wie dieser spezielle Fall zeigt“, schreibt Gernaeva.
Die Zombie-Rechner wurden der Sicherheitsexpertin zufolge mit neuen Schadcode-Varianten infiziert, die aktualisierte Verschlüsselungsmethoden und Algorithmen nutzen, um die Kommunikation zu verbergen. „Zwei verschiedene RSA-Schlüssel kommen in einer Struktur zum Einsatz, was uns schließen lässt, dass zwei unterschiedliche Gruppen jeweils einen Schlüssel besitzen und derzeit das Botnetz kontrollieren.“
Erst vor zwei Wochen war es Microsoft gelungen, den mutmaßlichen Autor des originalen Kelihos-Code zu identifizieren. In einer abgeänderten Beschwerde (PDF) vor dem US-Bezirksgericht für den Eastern District von Virginia beschuldigte der Softwareanbieter den im russischen Sankt Petersburg lebenden Andrej N. Sabelnikow, den Code geschrieben zu haben und an der Entwicklung der Malware beteiligt gewesen zu sein. Gegenüber der BBC erklärte Sabelnikow, er sei „überrascht und schockiert“ von Microsofts Anschuldigungen und „vollkommen unschuldig“.
Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.
Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…
Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…
Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.
In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…
Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.