alphaspirit - Fotolia

Ransomware: Die Malware-as-a-Service-Infrastruktur dahinter

Die Verbreitung von Malware ist ein lukratives Geschäftsmodell. So funktioniert die Infrastruktur hinter der Cyberkriminalität.

Die Entwicklung von Malware ist heute relativ einfach. Jede Stunde werden etwa 100 neue Schädlinge erstellt. Nur durch so eine Vielzahl werden extreme Infektionsraten wie beispielsweise mit Ransomware erst möglich: Zeitweise wurden 5.000 Rechner je Stunde befallen. Ermöglicht wird dies durch Exploits-Kits, sie sind ein Hauptbestandteil der Malware-as-a-Service-Branche. Ihre Autoren vermieten sie an Cyberkriminelle, die sie für Angriffe auf arglose Nutzer einsetzen.

Nuclear ist sowohl hinsichtlich der Komplexität als auch der Verbreitung eines der führenden Exploit-Kits und bietet einen Einblick in das Herz eines cyberkriminellen Syndikats. Die Spuren führen nach Krasnodar, Russland, dort sitzen die wichtigsten Entwickler. Nuclear wird für ein paar Tausend Dollar pro Monat an Cyberkriminelle vermietet. Untersuchungen zeigen 15 aktive Nuclear-Steuerkonsolen. 

Genau betrachtet, kann man daraus schließen, dass der Täter durch Nuclear Erlöse in Höhe von ungefähr 100.000 US-Dollar pro Monat erzielt. Interessant sind besonders die inneren Abläufe des Exploits, einschließlich des tatsächlichen Quellcodes und der Exploits.

Check Point Software Technologies - Malware as a Service
Abbildung 1: Ordentliche Steuerkonsolen (oben) inklusive Statistiken für die Malware-Verbreitung sind Standard. Ransomware gehört zu den Hauptnutzdaten der Angreifer, die Opfer sind in aller Welt verstreut.

Die Strippenzieher gehen sehr vorsichtig vor. Nach der Veröffentlichung erster Erkenntnisse wurden alle bekannten Nuclear-Server abgeschaltet.

 

Treffen mit den Mietern

 

Im Detail läuft das Geschäft so ab: Jeder Angreifer mietet einen Server mit einer Steuerkonsole, von der aus er seine Malware-Kampagne steuern kann. Der Angreifer nutzt Nuclear zur Verbreitung der gesamten von ihm gewünschten Malware. Die Steuerkonsole liefert dem Angreifer beispielsweise auch Statistiken. Angesichts des aktuellen Ransomware-Trends ist es keine Überraschung, dass Ransomware die Hauptnutzdaten der Angreifer sind:

 

Return of Investment – Die Zahlungen der Opfer

 

Die Opfer dieser bösartigen Kampagne in aller Welt verstreut. Nuclear greift keine Länder an, Partnerschaftsabkommen mit Russland haben, um Strafverfolgungsmaßnahmen gegen die Entwickler zu vermeiden. Alleine im letzten Monat hat Nuclear 1.846.678 Geräte angegriffen. Die Erfolgsrate dieser Angriffe betrug 9,95 Prozent, was zu 184.568 infizierten Geräten führte.

Für die Opfer ist das Endergebnis eine Malware-Infektion, wie etwa mit Locky, die von Nuclear geliefert wurde. Diese wurde ebenfalls vor einigen Wochen genau analysiert: Nuclear sendete im untersuchten Monat 110.000 Locky-Dropper aus, was die Opfer rund 12.650.000 US-Dollar kostete.

 

Wie funktioniert das System?

 

Der Service Provider besitzt den Master Server, der alle Server der Angreifer steuert. Jeder Mieter erhält seine eigene Nuclear-Steuerkonsole, über die er seine bösartige Kampagne beobachten und steuern kann. Jeder Server verfügt über eine Reihe von Landing Page Servern.

Check Point Software Technologies - Malware Infection
Abbildung 2: So läuft die Infektion ab, nachdem eine kompromittierte Website besucht wurde. Der Nutzer wird infiziert, ohne dass er merkt, dass etwas nicht stimmt, oder ohne je einen Link angeklickt zu haben.

Arglose Nutzer werden zu diesen Servern geleitet, und fangen sich dort eine Infektion ein. Eine geringe Lösegeldforderung von Locky beträgt 0,5 BitCoins oder 230 US-Dollar. Einer Studie von Bitdefender (PDF) zufolge kommt rund die Hälfte aller amerikanischen Opfer der Lösegeldforderung nach und zahlt.

Der Prozess läuft folgendermaßen ab:

  • Der Nutzer greift auf eine kompromittierte Webseite zu.
  • Die Webseite verweist den Nutzer auf den TDS (Traffic Distribution Service).
  • Der TDS fragt die Nuclear-Steuerkonsole nach einem Landing Page Server.
  • Der Nutzer wird auf den Landing Page Server umgeleitet.
  • Der Landing Pager Server leitet den Traffic zur Steuerkonsole um.
  • Der Nutzer wird Opfer des Exploits.
  • Gelingt der Exploit, erhält der Nutzer die Schadsoftware vom Server.

 

All dies geschieht in Sekundenschnelle. Der Nutzer wird infiziert, ohne dass er merkt, dass etwas nicht stimmt, oder ohne je einen Link angeklickt zu haben. Selbst wenn man sich an gut bekannte und vertrauensvolle Seiten hält, gewährleistet dies nicht die Sicherheit des Nutzers, wie die jüngsten Malvertising-Kampagnen zeigten.

Zusammenfassung

In früheren Publikationen wurden bereits verschiedene Aktivitäten von Nuclear geprüft. Unter anderem der von den Angreifern genutzten Steuerkonsole und des allgemeinen Ablaufs ihrer Aktivitäten, der URL-Logik, der Landing Page und der Schwachstellen, die das Exploit Kit nutzt, um in die Geräte einzudringen.

„ Cyberkriminalität ist organisiert und fest strukturiert. Dies verändert die Gefahrenlandschaft, denn der Pool an potenziellen Täter wird immer größer.“

Mirco Kloss, Check Point Software Technologies

Es zeigt sich, dass eine umfassende Erfassung der kriminellen Aktivitäten auch die organisatorische Seite von Malware sehen muss. Cyberkriminalität ist organisiert und fest strukturiert. Dies verändert die Gefahrenlandschaft, denn der Pool an potenziellen Täter wird immer größer. Es braucht keine umfassenden technischen Kenntnisse mehr, um mit Malware User anzugreifen.

 

Über den Autor:

Mirco Kloss ist Sales Manager Threat Prevention Central Europe bei Check Point Software Technologies GmbH.

 

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

 

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close