Der Krake: Botnetz doppelt so groß wie Sturm-Wurm-Netz

Auf der gerade stattfindenden RSA-Konferenz haben Sicherheitsforscher der Firma Damballa über ein noch junges Botnetz mit dem Namen Kraken berichtet. Es soll mit 400.000 Drohnen doppelt so groß sein wie das Sturm-Wurm-Botnetz. Außerdem sollen auch Rechner von mindestens 50 der Fortune-500-Unternehmen Teil des Botnetzes sein.

Der Schädling, der die Rechner infiziert, kommt offenbar als vermeintliche Bild-Datei daher. Er benutzt Verschleierungstaktiken, um der Erkennung durch Antivirensoftware zu entgehen. So aktualisiert der Schädling häufiger seine ausführbare Datei. Die Drohnen kommunizieren mit dem Command-and-Control-Server (C&C-Server) über angepasste UDP- und TCP-basierte Protokolle und können im Falle, dass der C&C-Server nicht mehr erreichbar ist, neue Domain-Namen generieren. Die Kommunikation selbst ist den Damballa-Experten zufolge verschlüsselt.

Bislang werde das Botnetz zumeist zum Spam-Versand eingesetzt – die üblichen Spam-Mails für Online-Apotheken, Penisverlängerungen, Online-Casinos oder Kredite. Die Sicherheitsforscher konnten Berichten zufolge langlebige Drohnen beobachten, die alleine mehr als 500.000 Spam-Mails verschickt haben. Da sich der Schädling jedoch aktualisiere, könne er auch jederzeit weitere Funktionen nachrüsten.

Zunächst vermuteten die Damballa-Forscher, dass es sich bei dem Kraken-Botnetz um eine Abspaltung vom Sturm-Wurm-Botnetz handeln könnte. Allerdings hätten weitere Nachforschungen ergeben, dass die Botnetze in keiner Beziehung zueinander stehen. Das Netzwerk wurde Ende vergangenen Jahres entdeckt. Frühere Varianten des Schädlings deuten jedoch schon auf die Entstehung gegen Ende 2006 hin. (dmk)