Eine international agierende Tätergruppierung hatte hunderttausendfach private und geschäftliche Computersysteme mit unterschiedlicher Schadsoftware infiziert. Dieses Netzwerk mit dem Namen Avalanche war eine der weltweit größten bekannten Botnetz-Infrastrukturen. In dieser konnten insgesamt 20 verschiedene Botnetze identifiziert werden, die die Infrastruktur zur Verbreitung von Spam- und Phishing-E-Mails sowie von Schadsoftware wie beispielsweise Ransomware (Erpressungstrojaner) oder Banking-Trojaner, nutzen.

Am 30.11.2016 hatte die Staatsanwaltschaft Verden in Zusammenarbeit mit der ZKI Lüneburg und internationalen Partnern Avalanche ausgehoben. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) war dabei unterstützend tätig. Im Rahmen dieser Zerschlagung wurden sogenannte Sinkhole-Server eingesetzt, mit deren Hilfe IP-Adressen identifiziert werden konnten, unter denen sich mit Schadsoftware befallene Geräte befanden. Die Ende 2016 initiierten Schutz- und Informationsmaßnahmen wurden im November 2017 um ein weiteres Jahr verlängert. Bis zu diesem Zeitpunkt hatte sich die Zahl der auf Avalanche zurückgehenden Infektionen insbesondere in Deutschland positiv entwickelt und betrugen nur noch rund 40 Prozent des ursprünglichen Startwerts.

Nach dem Takedown

Betroffene sollten ihre Geräte auf eine Infektion mit Schadprogrammen überprüfen und Sicherheitslücken schließen. Die Schadprogramme auf den betroffen Systemen wurden durch die Zerschlagung der Botnetz-Infrastruktur nicht gelöscht. Es kann daher nicht ausgeschlossen werden, dass die Täter zu einem späteren Zeitpunkt wieder Kontrolle über die jeweiligen Botnetze erhalten. Betroffene sollten daher möglichst bald handeln. Auch für Nutzer, die kein Schreiben ihres Providers erhalten, empfiehlt sich dieses Vorgehen.

Nach aktuellem Kenntnisstand des BSI sind überwiegend Windows-Systeme und Android-Smartphones Teil der jeweiligen Botnetze gewesen. Dennoch kann eine Infektion bei Smartphones mit Apple iOS, Microsoft Windows Phone oder Betriebssystemen wie Apples OS X oder Linux nicht ausgeschlossen werden. Ebenso sind nach aktuellem Kenntnisstand keine Geräte des Internets der Dinge (Internet of Things, IoT) wie beispielsweise Webcams, Drucker oder TV-Empfänger Teil dieser Botnetze.

Empfehlungen, wie Sie im Fall einer Infektion mit einem Schadprogramm vorgehen sollten, Hintergründe zur Benachrichtigung durch die Provider und viele weitere Informationen finden Sie in unseren FAQ zu Botnetzen.

Schadsoftware innerhalb der Avalanche-Botnetz-Infrastruktur

Nachfolgend werden bekannte Botnetzfamilien (Schadprogramme) dargestellt, die in der Botnetzinfrastruktur Avalanche aufgefunden wurden. Bitte beachten Sie, dass die Hersteller von Virenschutzprogrammen die Botnetzfamilien nicht einheitlich benennen. Häufig werden bei Funden auch generische Namen wie z.B. "Downloader.XYZ" angezeigt.

• Andromeda/ Gamarue

• Bolek

• Citadel

• Corebot

• Dofoil/ Smokeloader

• Gozi2

• KINS/ VMZeus

• Marcher

• Matsnu

• Nymaim

• Pandabanker

• Ranbyus

• Rovnix

• Smart App

• TeslaCrypt

• Tiny Banker/ Tinba

• Trusteer App

• URLzone/ Bebloh

• Vawtrak

• Xswkit