DRIDEX: Am Boden aber nicht zerstört

Originalbeitrag von Trend Micro

Am 13. Oktober starteten amerikanische und britische Polizeibehörden eine Aktion gegen das berüchtigte DRIDEX-Botnet, um die Aktivitäten der Online-Banking-Bedrohung zu stoppen. Der US-Staatsanwalt David J. Hickton nannte die Aktion eine „technische Unterbrechung und einen Schlag gegen eine der bösartigsten Malware-Bedrohungen der Welt“. Die National Crime Agency wiederum sprach von der Aktion als „Teil einer nachhaltigen und stetigen Kampagne gegen mehrere Versionen von Dridex sowie gegen die kriminellen Hintermänner“. Doch obwohl diese Aktionen Dridex hart getroffen haben, ist die Schadsoftware weit entfernt davon, tot zu sein.

Nach dem Takedown von Dridex ist die Zahl der betroffenen Anwender auf 24% der vorherigen Zahl gefallen, so die Schätzungen von Trend Micros Sicherheitsforscher. Die Einschätzung beruht auf der Zahl der Dridex-Infektionen, die während zweier Wochen direkt vor und nach dem Takedown gefunden wurden. Bei näherer Betrachtung lässt sich feststellen, dass sich die Verteilung der Opfer leicht verändert hat. Vor allem der Prozentsatz der US-Opfer fiel signifikant von nahezu 30% vor dem Takedown auf weniger als 14% danach.


Bild 1. Verteilung der Opfer vor dem Takedown


Bild 2. Verteilung der Opfer nach dem Takedown

Obwohl Dridex durch die Aktion angeschlagen ist, wurden nicht alle Server vom Netz genommen. Die Server, die sich außer Reichweite der Polizei befanden, oder von denen sie nichts wußten, funktionieren weiter. Zudem wurde nur ein Mitglied der Dridex-Bande verhaftet, ein Systemadministrator namens Andrey Ghinkul. Die anderen aber konnten weitermachen. Die Sicherheitsforscher haben inzwischen neue Varianten gesehen, die ohne große Änderungen (außer dem Wechsel zu neuen C&C-Servern) eingesetzt wurden.

Dridex nutzt ein Servicemodell, dass möglicherweise zum Überleben dieser bestimmten Aktion beigetragen hat. Es ist als ein Botnet-as-a-Service (BaaS) aufgesetzt und besteht eigentlich aus mehreren Botnets, die alle unterschiedliche Konfigurationsdateien haben. Außerdem versucht es, seine Spuren zu verwischen. Es verwendet eine Peer-to-Peer-Architektur (wie Gameover ZeuS), um seine C&C-Server zu verstecken, sowie mehrere Routinen auf dem Endpunkt, um seine Aktivitäten zu verstecken. All dies macht Dridex ziemlich widerstandsfähig gegen Unterbrechungen.

Aktionen wie dieses Takedown sind effizient, wenn es darum geht, die Aktivitäten von Cyberkriminellen kurzfristig zu stoppen, doch der langfristige Erfolg ist nicht immer garantiert. Sie entfernen die am wenigsten effizientesten Bedrohungen aus der Szene und bieten den Cyberkriminellen die Chance, aus ihren Fehlern zu lernen. Es bedarf der Festnahmen, um der cyberkimininellen Aktivität tatsächlich Einhalt zu gebieten.

Zusätzliche Analysen von Anthony Joe Melgarejo und Michael Marcos

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*