«Wir haben eine Variante eines Botnetzes gefunden, die besonders auf User in Norddeutschland ausgerichtet war», sagt Martin Rösler, Director Threat Research bei Trend Micro. Eine Erfolgsrate von 84 Prozent belegt, wie effizient Cyberkriminelle Nutzer mit ihren Schädlingen infizieren können. Insgesamt hat die Malware im Beobachtungszeitraum von drei Wochen etwa 10.000 User befallen.

Der Schädling kann den Browser kapern und so beispielsweise Online-Banking-Sitzungen manipulieren, aber auch einfach Zugangsdaten für diverse Web-Dienste ausspionieren. Hier zeigt die Trend-Micro-Analyse, wie leichtfertig Nutzer sind. 85 Prozent aller Passwörter sind so schlecht, dass sie mit trivialen Mitteln geknackt oder sogar erraten werden können. In dieser Hinsicht sind aber auch die Kriminellen nachlässig - nur die mangelnde Passwortsicherung eines Kontrollservers hat die genaue Analyse erst ermöglicht.

Malware ist immer und überall

Die Cyberkriminellen haben eine im Analysezeitraum neue Sicherheitslücke genutzt, um die beachtliche Infektionsrate zu erzielen. Zwar kann Rösler aufgrund laufender behördlicher Ermittlungen keine Details verraten, doch sei die Schwachstelle im betreffenden Produkt mittlerweile gepatcht. Jedenfalls zeigt der Fall, wie gezielt Cyberkriminelle vorgehen - auch in geografischer Hinsicht. «Wir beobachten immer häufiger solche relativ kleinen Botnetze», warnt der Experte. Grund dafür dürfte sein, dass Mega-Botnetze für den Geschmack der Hacker zu viel Aufmerksamkeit bei Medien und Behörden erzielen.

Dem Risiko solcher Infektionen können User kaum entgehen. «Die gefährlichsten Orte im Web sind Google, gefolgt von Facebook», meint Rösler. Wer diese beiden Seiten nicht nutzt, weiche 70 Prozent aller Gefahren aus. Die tatsächlichen Schädlinge liegen auf Domains, auf die User durch Sucherergebnisse, Social Engineering oder auch gehackte Webseiten gelockt werden. Nur moderne AV-Lösungen mit Reputations-basierten Webblockern können Usern Schutz bieten. «Wir können gewisse Vorzeichen für drohende Angriffe erkennen», erklärt der Sicherheitsspezialist. Das erlaubt es, Malware-Domains präventiv zu blockieren.

Nullen und Einsen

Usern droht aber nicht nur Gefahr durch Malware. Wenn Angreifer Passwörter für Dienste erraten oder knacken, kann auch das gewaltigen Schaden anrichten. Hier spielen viele User Kriminellen in die Hände. Nur 15 Prozent der vom Botnetz gestohlenen Zuggangsdaten nutzen zumindest annehmbare Passwörter, so das Ergebnis der Trend-Micro-Analyse. Der Rest ist trivial zu knacken oder zu erraten. Abfolgen mehrerer Ziffern wie «1234» bilden dabei gar nicht den Tiefpunkt. Rösler zufolge finden sich in den Listen etliche Dutzend Passworte, die nur aus ein oder mehreren Nullen beziehungsweise ein oder mehreren Einsen bestehen.

Möglich gemacht hat die Untersuchung ironischerweise, dass kleine Botnetze oft von Kriminellen betrieben werden, die einfach nur im Cyber-Untergrund erhältliche Toolkits nutzen. Sie sind teils so achtlos, dass die Kontrollserver ihres Botnetzes nur durch ein Standardpasswort oder gar nicht geschützt sind - und somit Sicherheitsspezialisten, die den Server entdecken, für eine umfassende Analyse offen stehen.

(ade/pte)