Schweizer Initiative lässt in zehn Monaten fast 100.000 Malware-Sites abschalten

Die Schweizer Initiative Abuse.ch, die als Non-Profit-Organisation Internet Service Provider und Netzwerkanbieter beim Kampf gegen Schadsoftware unterstützt, hat mit dem Projekt URLhaus seit Ende März 2018 fast 100.000 Websites abschalten lassen, die Malware verbreiten. Die benötigten Daten lieferten 265 Sicherheitsforscher weltweit. Durchschnittlich meldeten sie 300 Malware-Websites pro Tag.

„Aber nicht nur die Infosec-Community macht URLhaus zu einer Erfolgsgeschichte: Zusammen mit der Community gelang es URLhaus auch, die Aufmerksamkeit vieler Hosting-Provider auf sich zu ziehen und ihnen zu helfen, kompromittierte Websites zu identifizieren und wiederherzustellen, die in ihrem Netzwerk gehostet werden. Dies ist keine leichte Aufgabe, insbesondere für große Hosting-Provider, die Zehntausende von Kunden und damit eine beträchtliche Anzahl von entführten Websites in ihrem Netzwerk haben, die von Cyberkriminellen missbraucht werden, um Malware zu verbreiten“, heißt es im Blog von Abuse.ch.

Das Projekt URLhaus ist dem Blogeintrag zufolge auf zwei große Hindernisse gestoßen. Zum einen gibt es deutlich mehr Websites, die aktiv Malware verbreiten, als den zuständigen Hosting-Providern oder Netzwerkbetreibern gemeldet werden können. Durchschnittlich seien 4000 bis 5000 Seiten täglich mit der Verbreitung von Malware beschäftigt – im Durschnitt gebe es aber nur weniger als 1000 Meldungen pro Tag an Provider.

Zum anderen dauert es laut URLhaus zu lange, bis eine gemeldete Seite auch tatsächlich abgeschaltet wird. Durchschnittlich sollen solche Seiten noch für mehr als eine Woche (8 Tage, 10 Stunden und 24 Minuten) aktiv sein und Nutzer mit Schadsoftware infizieren. Am meisten Zeit nehmen sich demnach Netzwerke in China, um Seiten zu sperren. Sie benötigen stets mehr als einen Monat.
Nur bei einem Anbieter der 15 größten Netzwerke, die Malware hosten, lag die Reaktionszeit bei unter einem Tag.

Die am häufigsten über kompromittierte oder speziell präparierte Websites verteilte Malware-Familie war in den vergangenen zehn Monaten Emotet (Heodo). Der Banking-Trojaner sorgte zuletzt auch in Deutschland für hohe Schadensfälle. Auf dem zweiten Platz landeten die Banking-Trojaner der Gozi-Familie, gefolgt von der Ransomware GandCrab und der Adware Breitschopp.

Abschließend kritisiert Abuse.ch die langen Reaktionszeiten vieler Hosting-Provider. Vor allem Zeiträume von generell mehr als einem Monat, wie sie chinesische Hoster benötigten, seien inakzeptabel. Dass es auch anders geht, zeigt die Statistik des URLhaus-Projekts. Demnach können zahlreiche Verantwortliche, vor allem in den USA und Europa, auch innerhalb von wenigen Minuten eine gefährliche Website abschalten.