Alles, was Sie über das 3ve Botnet wissen müssen
Veröffentlicht: 2021-07-08Moderne Werbetreibende müssen sich mit weit mehr auseinandersetzen, als nur potenzielle Kunden zu konvertieren, da das Aufkommen von Botnets und Klickbetrug weiterhin den Erfolg von Werbekampagnen beeinträchtigt.
Botnets sind mittlerweile für einen Großteil dieser betrügerischen Klicks verantwortlich. Und in den letzten Jahren war das 3ve-Botnet eine der ausgefeiltesten Botnet-Operationen, die es je gab.
Es lief von 2013 bis 2018 und infizierte weltweit über 1,7 Millionen PCs, verursachte Chaos und kostete Werbetreibende Millionen.
Aber wie kam es zu solch einem globalen Dilemma? Wir sind hier, um ihren Aufstieg und Fall zu beschreiben und die Probleme hervorzuheben, die Botnets verursachen, mit Tipps, wie Sie Ihr Unternehmen schützen können.
Wie 3ve entdeckt wurde
Als Eve ausgesprochen , war das Botnet von 2013 bis 2018 in Betrieb, wurde aber erst 2016 von HUMAN (ehemals White Ops), dem Cybersicherheitsspezialisten, entdeckt.
Das Unternehmen arbeitete mit Google und dem FBI zusammen, um den Betrugsring zu Fall zu bringen, mit Beiträgen von Organisationen wie Adobe, McAfee und Amazon.
3ve verwendete die Malware-Pakete Boaxxe/Miuref und Kovter, um PCs mit Spam-E-Mails und infizierten E-Mail-Anhängen zu infizieren.
Es wurde erstmals von HUMAN entdeckt, als das Methbot- Netzwerk untersucht wurde. Anfangs schien 3ve eine Standard-Bot-Farm zu sein, die nichts Einzigartiges an sich hatte.
Aber im Jahr 2017 wuchs seine Aktivität und es generierte täglich Milliarden von Gebotsanfragen für Anzeigen. Das waren jeden Tag zwischen 3 und 12 Milliarden.
Die entdeckte Malware verwendete Anti-Forensik, eine Umgehungstaktik, bei der die Malware die Prozesse, die Hardware, den Benutzernamen und die IP-Adresse eines PCs scannt. Alles, was es identifizierbar macht.
Nachdem dieses Problem gelöst war, entdeckten Google und HUMAN nach und nach das volle Ausmaß der 3ve-Operation. Wie Google in seinem Whitepaper the Hunt for 3ve erklärt :
„Eine Möglichkeit, Bot-Operationen zu beenden, besteht darin, alle ihre bekannten IP-Adressen auf die schwarze Liste zu setzen. Aufgrund der Aggressivität des Unternehmens sowie seiner Fähigkeit, schnell neue IP-Adressen zu erwerben, stellten wir jedoch fest, dass eine Blacklist die Aktivität von 3ve nur vorübergehend unterbrechen würde. Um es dauerhaft zu entfernen, mussten wir verstehen, wie 3ve strukturiert und organisiert ist, wir mussten sicherstellen, dass die Bediener dachten, sie würden unbemerkt, um sie zu beobachten und unsere Erkenntnisse auf zukünftige Sicherheitsbemühungen anzuwenden, und wir mussten unsere Bemühungen ausweiten jenseits von Google und [MENSCH].“
Google begann mit dem Aufbau einer Infrastruktur von Partnern, um 3ve ein Ende zu setzen. Dabei musste der Suchriese jedoch sicherstellen, dass das Botnet glaubte, es sei noch unentdeckt.
Was folgte, war ein Mammutunternehmen, an dem große Organisationen beteiligt waren, die alle gemeinsam daran arbeiteten, das wohl ausgereifteste Botnet der Geschichte zu Fall zu bringen.
Die 3ve-Operation
3ve funktionierte auf interessante Weise und nutzte gefälschte und qualitativ minderwertige Websites, die Teilnehmer von Google AdSense waren. Es verkaufte dann gefälschten Premium-Traffic an Werbetreibende.
Es konnte erfolgreich die Domains von hochrangigen und renommierten Publishern fälschen, sodass die Werbetreibenden nicht klüger werden, wenn sie getäuscht wurden.
Die Fähigkeit von 3ve, Zehntausende von PCs zu infizieren, ermöglichte es dem Unternehmen, eine Menge illegitimer Klicks auf Anzeigen zu erzeugen, wodurch der Betrieb sein Geld verdiente.
Wie Google im Whitepaper The Hunt for 3vE feststellte:
„Die Betreiber von 3ve haben sehr sorgfältig versucht, zu verhindern, dass Werbenetzwerke ihre illegalen Aktivitäten bemerken. Aus diesem Grund wird die Malware von 3ve beispielsweise nur in Ländern vollständig ausgeführt, in denen organische Internetnutzer wahrscheinlich dieselben Premium-Sites durchsuchen, die 3ve fälscht, darunter die USA, Kanada und Großbritannien. Die Opferpopulation von 3ve ist in der folgenden Abbildung dargestellt.“
Je erfolgreicher dies war, desto größer wurde die Operation.
Seine Operatoren waren auch in der Lage, sich ständig der Entdeckung zu entziehen, indem sie die Bots von 3ve tarnten. Selbst nachdem Teile des Datenverkehrs auf die schwarze Liste gesetzt wurden, könnten sie an anderer Stelle rematerialisieren.
Die Operatoren von 3ve setzten verschiedene Taktiken ein, um unentdeckt zu bleiben. Dazu gehören die Umgehung von Tags, die Nachahmung menschlicher Verhaltensweisen vor dem Klicken auf Anzeigen und die schnelle Neugenerierung von IP-Adressen von Privatanlegern.
Auf seinem Höhepunkt ist das 3ve-Botnet:
- Generiert über 3 Milliarden tägliche Gebotsanfragen
- Kompromittierte 1 Million IPs
- Über 700.000 PCs infiziert
- Gefälschte 10.000+ Websites
Wie 3ve ausgeschaltet wurde
Google, HUMAN und das FBI erkannten, dass die Operation endgültig eingestellt werden musste, damit sie sich nicht mehr weiterentwickeln konnte.
Insgesamt arbeiteten 15 große Industrieparteien mit Google, Human und dem Internet Crime Complaint Center des FBI zusammen, um die Operation zu beenden.
Die Liste der Organisationen, die geholfen haben, 3ve auszuschalten, umfasst:
- Adobe
- Handelsschalter
- Amazonas
- Eid
- Malwarebytes
- ESET
- Beweispunkt
- Symantec
- F-Sicher
- McAfee
- Trend Micro
- Heimatschutzministerium
Mit einem System kollaborativer Intelligenz verbrachte die Arbeitsgruppe Monate damit, 3ve in Aktion zu beobachten, um festzustellen, wie es funktionierte.
Die zusammengeschlossenen Unternehmen konnten 3ve eingehend untersuchen, um seine Infrastruktur, Monetarisierungsstrategien und Hauptkomponenten abzubilden.
McAfee und andere Antiviren-Spezialisten arbeiteten beispielsweise daran, herauszufinden, mit welcher Malware 3ve PCs infizierte.
Dies führte zu einem koordinierten technischen Abbau der Infrastruktur, der die Betreiber daran hinderte, 3ve wieder aufzubauen.
Innerhalb von 18 Stunden meldete Google den Gebotsanfragen-Traffic von 3ve nahe 0 %.
Am Ende der Ermittlungen erließ das US-Justizministerium 13 Anklagen gegen 8 Personen. 6 dieser Betrüger kommen aus Russland, die anderen 2 aus Kasachstan.
In der Pressemitteilung des Justizministeriums vom November 2018 wurden acht Angeklagte angeklagt , die Namen der Personen enthüllt und erklärt:
„Außerdem wurden heute vor dem Bundesgericht in Brooklyn Beschlagnahmebefehle entsiegelt, die das FBI ermächtigen, die Kontrolle über 31 Internetdomänen zu übernehmen, und Durchsuchungsbefehle, die das FBI ermächtigen, Informationen von 89 Computerservern zu entnehmen, die alle Teil der Infrastruktur für Botnets waren, die digitale Werbung betreiben Betrugsaktivität. Das FBI leitete in Zusammenarbeit mit Partnern aus dem privaten Sektor den Internetverkehr zu den Domänen um (eine Aktion, die als „Sinkholing“ bekannt ist), um diese Botnetze zu stören und zu demontieren.“
Die Anklage lautete auf den Verlust von mehreren zehn Millionen Dollar durch digitalen Werbebetrug.
Die Ergebnisse des Stoppens von 3ve haben sicherlich einen Weckruf für die Werbe- und Technologiebranche ausgelöst und gezeigt, warum es wichtig ist, im Kampf gegen Online-Betrüger proaktiv zu bleiben.
Schützen Sie Ihre Anzeigen vor den nächsten 3ve
Obwohl 3ve möglicherweise entfernt wurde, gibt es leider immer noch viele andere aktive Botnets.
Und jeder Werbetreibende, der bezahlte Such-, Display- oder Videoanzeigen schaltet, läuft Gefahr, durch diese Werbebetrugsprogramme Geld zu verlieren.
2019 veröffentlichte Spamhaus (eine Threat-Intelligence-Organisation) seinen Botnet Threat Report. Die Ergebnisse zeigten einen dramatischen Anstieg der Domainnamen, die für das Hosten von Botnets registriert wurden. Der Anstieg war gegenüber den Statistiken von 2017 um 100 % gestiegen.
Und wie unser Global Click Fraud Report 2021 gezeigt hat, bleiben Botnets die schädlichste Form des Klickbetrugs.
Es ist sehr viel ein Katz-und-Maus-Spiel. Ständig werden neue Botnets entdeckt. Im März 2021 wurde beispielsweise ein Windows-spezifisches Botnet ausgegraben und festgestellt, dass es immer größer wird.
Die so genannte Purple Fox-Malware verwendet Phishing-E-Mails und Exploit-Kits, um Maschinen zu infizieren, und verbreitet sich schnell von einem PC zum nächsten. Die Malware zielt auf Windows-Computer mit Internetzugriff ab, die schwache Passwörter verwenden.
Je mehr Anzeigen Sie im Google Display-Netzwerk schalten, auf je mehr Websites Sie werben und je mehr Geld Sie ausgeben, desto höher ist die Wahrscheinlichkeit, dass Sie einem Betrug zum Opfer fallen.
Botnet-Betreiber arbeiten hart daran, ihre Bots so wenig wie möglich vom menschlichen Verhalten zu unterscheiden.
Das macht es sehr schwierig, illegitime Aktivitäten in Ihren Werbekampagnen zu erkennen, geschweige denn zu verhindern.
Es ist wichtig, wachsam zu sein. Und um Ihre Werbekampagnen und Ihr Geschäft mit den neuesten verfügbaren Daten zu schützen. Das kann Ihnen einen enormen Vorsprung bei der Blockierung von Betrügern verschaffen.
Lehren aus 3ve
Leider sind Botnetze hier, um zu bleiben, genauso wie 3ve bewiesen hat, wie ausgefeilt die Operationen werden, um einer Erkennung zu entgehen.
Es brauchte eine ganze Belegschaft von Tausenden von Leuten von großen Global Playern, um das Netzwerk zu zerstören. Die gemeinsame Macht von Google, HUMAN, dem FBI und vielen anderen, um die Verbreitung von Malware durch nicht-menschliche Bots zu stoppen.
Die aus 3ve gewonnenen Erkenntnisse haben bei der Bekämpfung von Betrügern geholfen und werden mit Sicherheit bei zukünftigen Ermittlungen hilfreich sein.
Sie können Ihre Werbekampagnen aber auch schützen, indem Sie proaktive Maßnahmen ergreifen. Wir haben eine kostenlose 60.000+ Ausschlussliste für Apps, Kanäle und Websites, die verhindern, dass Ihre Anzeigen auf verdächtigen und leistungsschwachen Websites geschaltet werden.
Fügen Sie dies Ihrem Google Ads-Konto hinzu, um Betrüger sofort auszuschließen und die Qualität Ihres Traffics zu verbessern.
Das hilft, Ihr Markenimage zu schützen, irrelevante Websites zu vermeiden, unrechtmäßige Klicks zu stoppen und Ihren ROI zu verbessern.
Laden Sie die vollständige Ausschlussliste unten herunter.