Das berüchtigte ZeroAccess Botnetz ist wieder in vollem Gange und infiziert PCs, stiehlt Daten und leitet Anzeigeneinnahmen um.

Obwohl Strafverfolgungsbehörden und Sicherheitsexperten in zwei Versuchen daran arbeiteten, es lahm zu legen, wurde das Peer-to-Peer Botnetz ZeroAccess im Januar 2015 wieder aktiv.

ZeroAccess ist auch als Sirefef bekannt. Auf seinem Höhepunkt im Jahr 2013 hatte es mehr als 1,9 Millionen Computer infiziert und wurde vor allem für Klickbetrug und Bitcoin-Mining eingesetzt.

Den Sicherheitsexperten von Symantec war es gelungen, einen Fehler in der Architektur des Peer-to-Peer Botnetzes zu finden. Die Architektur ermöglichte es den Bots, Dateien, Befehle und Informationen ohne einen zentralen Command-and-Control-Server miteinander auszutauschen. Aufgrund der Entdeckung der Schwachstelle, schaffte es Symantec im Juli 2013, über eine halbe Millionen von Computern von ZeroAccess zu befreien.

Das FBI, Europol, Microsoft und einige andere Sicherheitsanbieter schoben im Dezember desselben Jahres eine zweite Operation an und schafften es, das Botnetz weiter zu behindern, was die Betreiber zwang aufzugeben. Als Folge sendeten die Botnetz-Betreiber eine Nachricht an alle infizierten Computer, die eine weiße Flagge enthielt.

Es dauerte nicht lange, bis Cyberkriminelle das Botnetz im Zeitraum zwischen 21. März und 02. Juli 2014 reaktivierten. Nach dieser letzten Aktivität war bis vor Kurzem Funkstille.

Am 15. Januar 2015 wurde das Botnetz aber neuerlich aktiviert. Die Forscher von Dell SecureWorks äußerten:

„Und wieder begann die Verbreitung von Klickbetrug auf gehackten Systemen.“

Zur Ausübung von Klickbetrug lässt bösartige Software auf infizierten Computern Anzeigen aufscheinen, die diese selbstständig anklickt. Diese Klicks sind als legitime Benutzeraktionen maskiert und generieren so Werbeeinnahmen für Botnetz-Betreiber.

Heute ist ZeroAccess nur ein Schatten seiner selbst, da Hacker seit Dezember 2013 nicht versuchten, neue Systeme zu infizieren. Neue Aktivitäten deuten jedoch darauf hin, dass noch nicht komplett aufgegeben wurde.

ZeroAccess ist zwar ein großes Problem, stellt aber keine Gefahr für die Öffentlichkeit dar, wie viele andere Botnetze, die sich hauptsächlich auf Bank-Betrug und Identitätsdiebstahl konzentrieren.

Die Dell SecureWorks Forscher identifizierten 55.208 eindeutige IP-Adressen, die zwischen 17. Januar 2015 und 25. Januar 2015 im Botnetz aktiv waren. 38.094 davon kommunizieren mit beeinträchtigen 32-Bit Windows Systemen und 17.114 mit 64-Bit Systemen. Die Top 10 der betroffenen Länder sind Japan, Indien, Russland, Italien, USA, Brasilien, Taiwan, Rumänien, Venezuela und Deutschland.

Artikel von computerworld.com, 30.01.2015: The ZeroAccess botnet is back in business
Artikel von zdnet.com, 29.01.2015: Click-fraud ZeroAccess botnet rises from the ashes