zhu difeng - Fotolia

Organisiertes Verbrechen mit Banking Malware

Ransomware ist nur ein Beispiel von organisiertem Verbrechen in der Cyberwelt. Eine weitere bedrohliche Entwicklung findet sich bei Banking-Trojanern.

Fragt man IT-Verantwortliche nach der größten Cyberbedrohung des letzten Jahres, erwartet man sicher den Begriff Ransomware als Antwort. In der Tat wurden viele Organisationen mit Verschlüsselungstrojanern angegriffen. Dabei handelt es sich aber nur um ein Beispiel von organisierten Verbrechen in der Cyberwelt. Eine weitere bedrohliche Entwicklung findet sich beispielsweise bei Banking Trojanern.

Ransomware sorgte für deutlich mehr Schlagzeilen, allerdings sind Malware-Angriffe auf Finanzangebote nicht weniger gefährlich. Schon seit Längerem verfolgen internationale Behörden die Entwicklung von Schädlingen im Finanzsektor. Europol hat jetzt in Kooperation mit einem Sicherheitsanbieter eine Untersuchung in diesem Bereich veröffentlicht.

Dabei wird deutlich, wie sich die Struktur von Kriminellen in der digitalen Welt weiterentwickelt hat. Es hat sich ein fein abgestimmtes Ökosystem mit spezialisierten Akteuren entwickelt, die alle ihren Teil zur Bedrohung beitragen. Allerdings sind nicht alle Aktionen zwangsläufig illegal.

Bevor eine Malware als Dienstleistung bereitgestellt werden kann, muss sie zur Marktreife gebracht werden. Die eigentliche Herstellung durch die Programmierer ist daher nur ein erster Schritt. Dabei gilt es, dass sich die Schädlinge in den anhängenden Vertriebskanal integrieren lassen. Die Gruppe der Programmierer muss dabei nicht einmal kriminelle Absichten haben, da sie die spätere Nutzung ihrer Produkte nur eingeschränkt beeinflussen können. Im Gegensatz zu legaler Software gibt es keine Instanz, auf der Patente und Rechtansprüche eingeklagt werden können.

Botnetzwerke sind mittlerweile so weit entwickelt, dass es hier eine eigene Sparte mit Anbietern gibt. Die Verwaltung der Netze wird zunehmend komplexer. Zwar gelingt den Behörden immer wieder mal die Zerschlagung, allerdings können die Betreiber leider immer wieder neue Endgeräte als Bots rekrutieren und Netze sehr schnell neu aufbauen. Zudem können die Kriminellen durch verschiedene Mechanismen die Netze vor Enttarnung schützen.

Dabei nehmen Geschwindigkeit und Kapazität immer neue Ausmaße an. Im Falle der Carberp-Malware wurden 2015 innerhalb von wenigen Wochen 150.000 Endgeräte zu einem Botnetz zusammengeschlossen. Zuvor, im Jahr 2009, haben Forscher der Universität Kalifornien das Torpig-Botnet für mehrere Tage übernommen und analysiert. Dadurch konnten detaillierte Einblicke in die Potenz solcher Netze gewährleistet werden. Mit etwa 180.000 gekaperten Geräten wurden Diebstähle zwischen 83.000 und 8,3 Millionen US-Dollar verübt.

Die Struktur der Kriminellen hat sich weiterentwickelt. Es ist existiert ein Ökosystem mit unterschiedlichen Aufgabengebieten.
Abbildung 1: Die Struktur der Kriminellen hat sich weiterentwickelt. Es ist existiert ein Ökosystem mit unterschiedlichen Aufgabengebieten.

Typische Betreiber sind kleine Expertengruppen von Kriminellen, die Malware-Dienstleistungen für die breite Masse zur Verfügung stellen. Crypter beschäftigen sich hauptsächlich mit der Verschleierung der Spuren, so dass im Falle einer Entdeckung die Hintermänner nicht erkannt werden können. Spammer lenken nach Geschäftsabschluss die Attacke auf das gewünschte Ziel des Käufers. Sie sind sozusagen der Point-of-Contact zum Kunden und bieten je nach Anbieter auch Support und Beratung an. „Money Mules“ beschreibt dritte Parteien, bei denen erschlichene Beute zwischengelagert wird, um die Nachverfolgung zu erschweren. Teilweise handelt es sich dabei um legale Dienstleister. Schließlich muss das Geld noch in eine harte Währung umgetauscht werden, da häufig Kryptowährungen wie Bitcoins eingesetzt werden – dies geschieht ebenfalls anonym in digitalen Wechselstuben.

Geschichte und Kennzeichen von Banking-Schädlingen

Bei der Erstellung von Malware greifen die Malware-Programmierer oft auf bestehenden Code zurück. Der Schädling Zeus beispielsweise wurde bereits 2007 entdeckt und 2010 gaben die Entwickler bekannt, in „Rente“ zu gehen. Daraufhin veröffentlichten sie Details zur Programmierung. Seit 2011 ist der Zeus-Quellcode im Internet einsehbar und die Community der Malware-Schreiber greift immer wieder auf das Know-How zurück. Der Spyeye-Trojaner zum Beispiel nutzt viele Elemente von Zeus.

Häufig kommt es vor, dass Entwickler von Schadcode diesen auch in Form von Toolkits bereitstellen. Bereits 2006 wurde der Info-Stealer Gozi veröffentlicht. Ab 2010 gerieten Details zum Code an die Öffentlichkeit und die Hintermänner veröffentlichten Kits zur Neuprogrammierung von Schadcode – Trojaner wie Neverquests oder Vawtrak kamen gerne auf dieses Angebot zurück.

Wie bereits erwähnt hat Zeus neue Maßstäbe gesetzt. Einige damalige Aspekte wurden praktisch zum Erkennungsmerkmal von hochentwickelten Banking-Schädlingen und markieren einen Generationswechsel in der Bedrohungslandschaft:

  • Einsatz von Web Injections zur Übermittlung von Schadcode
  • Aufbau und Nutzung von umfangreichen Botnetzen, oftmals gepaart mit Schutzmechanismen wie Segmentierung zu Sub-Netzen, um eine Komplettabschaltung zu verhindern und Workflows für verschiedene Bereiche aufzuteilen
  • Der Einsatz von intelligenten Tarnmechanismen wie Polymorphing, um eine Erkennung durch Hash-Prüfungen und anderen Sicherheitsmechanismen zuvorzukommen
  • Die Möglichkeit zur Nutzung „as a Service“, so dass der Anwender keine umfassende technische Expertise mehr braucht, um eine Attacke durchzuführen. Die Malware kann dadurch einer breiten Masse an Käufern angeboten werden.

Größte Bedrohungen heute

Seit 2011 wütet der Zeus-Nachfolger Game Over Zeus und zeichnet sich dabei durch seine aggressiveren Verbreitungstechnologien aus. Im Vergleich zu Vorgängerversionen unterstützt der Trojaner Peer-to-Peer-Kommunikation und unterteilt Bots in verschiedene Gruppen.

Dadurch werden einzelne Geräte gezielt zur Rekrutierung weiterer Endpunkte oder auch als vorgeschaltete Proxys eingesetzt. Durch die dezentralisierte Architektur gibt es keine C&C-Server mehr, die von Ermittlungsbehörden zur schnellen Abschaltung neutralisiert werden könnten.

„Cybercrime hat sich derart weiterentwickelt, so dass es außer krimineller Energie keine weiteren Voraussetzungen mehr braucht, um auf einen digitalen Raubzug zu gehen.“

Mirco Kloss, Check Point Software Technologies

 

Weitere Beispiele für Zeus-Abkömmlinge sind Dridex oder Dyre. Beide finden sich unter den 20 größten Bedrohungen weltweit und zeichnen sich durch zusätzliche Erweiterungen aus. Dyre ist unter anderem in der Lage, SSL-Verschlüsselungsmechanismen zu umgehen. Dridex plant seine Angriffswellen nach den Büroarbeitszeiten und der Auslastung der potenziellen Opfer.

Nicht alle Banking-Schädlinge stammen von Zeus ab. Tinba, oder auch Tiny Banker genannt, ist mit 20 Kilobit ein sehr schlanker Schädling. Da er komplett in Assemblersprache geschrieben ist und nur wenig Speicher bedarf, fällt es vielen Sicherheitstools schwer, die winzige Malware zu erkennen. Nach der Infektion durch Malvertising, Spam oder über Exploit Kits, versucht Tinba sich Root-Zugriffsrechte auf dem Endgerät des Opfers zu erschleichen und so die Kontrolle zu übernehmen.

Erwähnenswert ist zudem das Aufkommen von mobilen Bedrohungen. Sogenannte Over-Lay-Schädlinge imitieren die Oberfläche von Banking-Apps, um auf Smartphones und Tablets Zugangsdaten abzufangen. Seit 2016 steigt die Anzahl der Vorfälle mit Schädlingen wie Faketoken oder Tordow.

Fazit

Als fortschrittliche Malware vor einigen Jahren den Finanzsektor heimsuchte, sorgte dies für große Verluste und die Branche reagierte schockiert. Allerdings hat sich mittlerweile die Lage deutlich verbessert. Zwar haben sich Schädlinge immer weiterentwickelt, trotzdem haben Behörden und IT-Sicherheitsanbieter gute Fortschritte bei der Bekämpfung von organisierter Kriminalität gemacht.

Das Bedrohungspotenzial darf aber nicht unterschätzt werden. Cybercrime hat sich derart weiterentwickelt, so dass es außer krimineller Energie keine weiteren Voraussetzungen mehr braucht, um auf einen digitalen Raubzug zu gehen. Illegale Attacken können per Mausklick oder sogar per Anruf bestellt werden. Unternehmen und Anwender müssen sich also gegen Angriffe wappnen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Das Proteus-Botnet: Gefahr für deutsche Online-Händler

Ransomware: Die Malware-as-a-Service-Infrastruktur dahinter

Malware-Baukästen: Exploit Kits im Wandel

Malware-Analyse: So arbeitet der Keylogger iSpy

Fortsetzung des Inhalts unten

Erfahren Sie mehr über Enterprise Resource Planning (ERP)

ComputerWeekly.de

Close