bedeckt München 11°

Aktion gegen Ransomware:Microsoft will gefährliches Trickbot-Netzwerk zerschlagen haben

Microsoft-Zentrale in Redmond im US-Bundesstaat Washington.

(Foto: Ted S. Warren/AP)

Dem US-Konzern soll es gelungen sein, das Botnetz entscheidend zu stören. IT-Experten melden Zweifel an, ob die Aktion wirklich erfolgreich war.

Von Max Muth

Die Mitteilung des US-Konzerns hat es in sich: Microsoft schreibt, der Konzern habe mithilfe von Telekommunikationsfirmen eines der gefährlichsten Botnetze der Welt mit dem Namen Trickbot "zerschlagen". Das riesige Netz mit mehr als einer Million infizierten Windows-Computern war seit 2016 aktiv und wurde immer wieder genutzt, um etwa Ransomware oder Programme zum Diebstahl von Banking-Daten zu verteilen. So stiehlt Trickbot automatisiert die Login-Daten für Online-Banking von verseuchten Computern. Auch die bekannte Erpressersoftware "Ryuk" wurde immer wieder mithilfe von Trickbot verteilt.

Zuletzt hatte unter anderem die US-Regierung immer wieder vor den Gefahren von Ransomware für die US-Wahl gewarnt. So bestünde etwa die Gefahr, dass Angreifer am Wahltag wichtige Wähler-Datenbanken verschlüsseln und so die Stimmabgabe stören könnten. Behörden hatten in den vergangenen Jahren öfter versucht, das Trickbot-Netz zu stören, bislang vergeblich. Tom Burt, Microsofts Vice President für die Kundensicherheit, schreibt, es sei Microsoft nun gelungen, die Kommunikationsverbindung zwischen den Betreibern des Botnetzes und den bereits infizierten Computern zu kappen.

Ein Botnet oder Botnetzwerk ist ein Zusammenschluss von Computern, die irgendwann einmal unbemerkt mit Schadsoftware infiziert wurden. Die Computer sind ab diesem Zeitpunkt über Server der Betreiber aus der Entfernung steuerbar und können je nach dem Willen der Kriminellen entweder mit Erpressersoftware verschlüsselt werden, Banking-Daten stehlen oder etwa für den Versand von Spam-Mails missbraucht werden.

Den Microsoft-Experten sei es nun gelungen, die exakten IP-Adressen der Server herauszufinden, von denen aus die Betreiber von Trickbot ihre Computer-Armee befehligten, die sogenannten Command and Control Server (C&C). Dabei umgingen sie eigenen Aussagen zufolge auch Mechanismen, mit denen die Kriminellen ihren digitalen Aufenthaltsort verschleierten.

Mit diesen Beweismitteln bewaffnet, überzeugte Microsoft ein Bezirksgericht im US-Bundesstaat Virginia, gerichtlich gegen die Betreiber vorzugehen. So sei es gelungen, nicht nur die aktuellen IP-Adressen stillzulegen, sondern auch, die Betreiber daran zu hindern, neue Infrastruktur aufzubauen, also etwa Ausweichserver zu mieten, so Microsoft. Das Unternehmen habe für die internationale Aktion eine Koalition aus verschiedenen Cybersicherheitsfirmen gebildet, mit dabei waren unter anderem die slowakische IT-Sicherheitsfirma Eset und das US-Unternehmen Symantec. Da Trickbot auch immer wieder für erhebliche Schäden in der Finanzindustrie verantwortlich gewesen ist, war auch ein Verband dieser Industrie Teil der Koalition.

Experten bezweifeln den Erfolg der Aktion

Ein spannendes Detail der Mitteilung: Microsoft will offenbar auch mithilfe des Urheberrechts gegen die Kriminellen vorgehen. Der Konzern argumentierte vor Gericht, dass Windows-Rechner auch nach der Infektion durch Trickbot noch das Logo von Microsoft trügen und dem Unternehmen dadurch ein Reputationsschaden drohe.

Es ist nicht das erste Mal, dass Behörden oder Unternehmen gegen Trickbot vorgehen, zuletzt hatte die Cyberarmee der USA, die US-Cybercommand, vor etwa zwei Wochen versucht, die Operationen von Trickbot zumindest temporär zu stören. Microsoft geht davon aus, dass die Cyberkriminellen auch diesmal versuchen werden, ihr Netzwerk wieder zum Laufen zu bringen. Das Unternehmen klingt jedoch zuversichtlich, die Kriminellen dauerhaft stoppen zu können.

Experten halten den Jubel der Cyberkoalition für stark verfrüht. Während die beteiligten Cybersicherheitsunternehmen in Blogeinträgen ihre gemeinsame Aktion feiern, mehren sich die Hinweise darauf, dass die Handlungsfähigkeit der Trickbot-Betreiber nicht so stark eingeschränkt wurde, wie von Microsoft erhofft. So schrieben mehrere IT-Sicherheitsexperten auf Twitter, sie sähen weiterhin Aktivitäten von Trickbot. Auch die IT-Sicherheitsfirma Intel 471 kann bislang kaum einen Einfluss auf die Aktivität von Trickbot feststellen. Von 50 bekannten C&C-Servern seien aktuell mindestens 19 aktiv, schreibt das Unternehmen in einem vertraulichen Report an seine Kunden, den die SZ einsehen konnte.

© SZ
Sherrod de Grippo Proofpoint

IT-Sicherheitsexpertin
:"Fallen zwei oder drei Gangs weg, kommen fünf neue"

Sherrod DeGrippo kämpft täglich gegen Erpressersoftware, die immer mehr Schaden anrichtet. Die IT-Sicherheitsexpertin erklärt, warum Cyberkriminelle immer mehr wie Unternehmer arbeiten - und warum die Polizei kaum Chancen hat.

Interview von Max Muth

Lesen Sie mehr zum Thema

Zur SZ-Startseite