Microsoft hebt Citadel Botnetz aus – oder doch nicht?

Seit einigen Tagen wird in den Medien berichtet, dass Microsoft in Zusammenarbeit mit dem FBI, das Citadel-Botnetz ausgelöscht habe, welches in den vergangenen eineinhalb Jahren einen Schaden von mehr als 500 Millionen Dollar (ca. 380 Millionen EUR) versursacht haben soll. Laut Microsoft infizierten Online-Kriminelle weltweit über fünf Million Computer mit einer Schadsoftware, die Banken und Finanzinstituten ins Visier nahmen.

Einmal installiert, stiehlt Citadel Bankdaten und ermöglicht Identitätsklau. Mittels Man-in-the-Browser-Attacke seien so Tastatureingaben an die Betreiber übermittelt worden, um so an die Logindaten von Online-Banken der Opfer zu gelangen bzw. Zahlungstransaktionen manipuliert worden. Darüberhinaus blockierte Citadel Antivirenprogramme und dessen Update-Funktionalität, sodass Nutzer von der Reinigung der Rechner abgehalten wurden.
Botnetz-Takedown B54 eine PR-Kampagne Microsoft?
Merkwürdig ist jedoch, dass zeitgleich mit dem Takedown des Citadel-Botnetzes keine Täter ergriffen wurden. Darüberhinaus beklagt der Sicherheits-Experte Roman Hüssey von abuse.ch die Maßnahme Microsofts als “Kollateralschaden für die Sicherheitsindustrie“: Mindestens einviertel der beschlagnahmten Domainnamen seien durch Sicherheitsunternehmen bereits im Vorfeld den Cyberkriminellen entwendet worden, und dienten seither zur Benachrichtung der infizierter Endkunden über deren ISPs. Durch die Wegnahme der Domains sei dies aber nun Geschichte.
Inwieweit Microsoft dies im Rahmen des nächsten PatchDays und durch das Ausrollen einer neuen Version des “Malicious Software Removal Tools” nun erledigt, und ob dies auf alle betroffenen Kunden zutrifft, ist zum Zeitpunkt dieses Berichts noch offen.
Wie kann ich prüfen ob mein PC mit Citadel infieziert ist? Was muss ich tun?

• Scannen Sie Ihren Rechner mit HitmanPro. Das Entfernungstool erkennt Citadel nicht nur zielsicher, sondern entfernt den Schädling auch rückstandsfrei. Mit dem Tool CSIS Heimdal Security Agent können Sie diesen sehr wichtigen Sicherheitstipp automatisieren.
• Machen Sie bei unserem JAVA-Experiment mit und deinstallieren Sie JAVA.
• Surfen Sie nicht mit einem administrativem Konto. Denn wenn Sie ohne Authentifizierung Programme installieren können, dann kann dies auch ein Schadprogramm.
• Surfen Sie mit Mozilla’s FireFox? Dann greifen Sie auf die Browsererweiterungen wie Noscript, Adblock , WOT und  HitmanPro.Alert zurück.
• Nutzen Sie die “Windows Systemwiederherstellung” und greifen Sie auf eine Imaging-Software zurück, beispielsweise Acronis. Beachten Sie hierbei, dass die Imageabbilder Ihre Passwörter und persönlichen Daten enthalten. Hier empfehlen wir den Einsatz von verschlüsselten Festplatten. Testen Sie das Einspielen der von Ihnen erstellten Systemabbilder (“images”) nach einem festen Zeitplan.
• Öffnen Sie Dateien nur von vertrauenswürdigen Quellen und wenn Sie diese erwarten. Dies gilt für Datei-Anhänge aus E-Mails genauso, wie für Downloads aus dem World Wide Web. Meiden Sie Streaming-Platformen!
• Sofern deine Bank eine Umstellung auf ein anderes TAN-Verfahren anbietet, solltest Sie auf SmartTAN wechseln!

Bleiben Sie mit uns in Kontakt! Folgen Sie dem Autor und uns auf Twitter bzw. treten Sie unserer Facebook-Community bei.