Grafik: Abuse.ch

Die Initiative Abuse.ch, die als Schweizer Non-Profit-Organisation Internet Service Provider und Netzwerkanbieter beim Kampf gegen Malware unterstützt, hat mit dem Projekt URLhaus erreicht, dass seit Ende März des vergangenen Jahres fast 100.000 Websites abgeschaltet wurden, die Schadsoftware in Umlauf brachten. Die dafür benötigten Daten lieferten 265 Sicherheitsforscher weltweit, mit denen Abuse.ch regelmässig zusammenarbeitet. Durchschnittlich meldeten die Forscher 300 Malware-Websites pro Tag.

Gemeinsam mit der Community gelang es URLhaus auch, die Aufmerksamkeit vieler Hosting-Provider auf sich zu ziehen und ihnen zu helfen, kompromittierte Websites zu identifizieren und wiederherzustellen, die in ihrem Netzwerk gehostet werden, wie es auf dem Abuse.ch-Blog nachzulesen ist. Und dies sei keine leichte Aufgabe, insbesondere für grosse Hosting-Provider, die Zehntausende von Kunden und damit eine beträchtliche Anzahl von entführten Websites in ihrem Netzwerk haben, die von Cyberkriminellen missbraucht werden, um Malware zu verbreiten, ist dem Blog weiters zu entnehmen.

Gemäss dem Blogeintrag ist das Projekt URLhaus auf zwei zentrale Hindernisse gestossen. Zum einen gibt es deutlich mehr Websites, die aktiv Malware verbreiten, als den zuständigen Hosting-Providern oder Netzwerkbetreibern gemeldet werden können. Durchschnittlich seien 4000 bis 5000 Seiten täglich mit der Verbreitung von Malware beschäftigt – im Durschnitt gebe es aber nur weniger als 1000 Meldungen pro Tag an Provider. Zum anderen dauere es zu lange, bis eine gemeldete Seite auch tatsächlich abgeschaltet werde. Durchschnittlich sollen solche Seiten noch für mehr als eine Woche (8 Tage, 10 Stunden und 24 Minuten) aktiv sein und Nutzer mit Schadsoftware infizieren. Am meisten Zeit nehmen sich demnach Netzwerke in China, um Seiten zu sperren. Sie benötigen stets mehr als einen Monat. Nur bei einem Anbieter der fünfzehn grössten Netzwerke, die Malware hosten, sei die Reaktionszeit bei unter einem Tag gelegen. Diese langen Reaktionszeiten werden von Abuse.ch heftig kritisiert. Wie die Statistik des URLhaus-Projektes belegt, könnten zahlreiche Verantwortliche, vor allem in den USA und Europa, auch innerhalb von wenigen Minuten eine gefährliche Website abschalten.

Die am häufigsten über kompromittierte oder speziell präparierte Websites verteilte Malware-Familie war demnach in den vergangenen zehn Monaten Emotet (Heodo). Der Banking-Trojaner sorgte zuletzt auch in Deutschland für hohe Schadensfälle. Auf dem zweiten Platz landeten die Banking-Trojaner der Gozi-Familie, gefolgt von der Ransomware Gandcrab sowie der Adware Breitschopp.