Ein Blick auf den Schwarzmarkt der Cyber-Kriminalität und deren Verbindung nach Osteuropa

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Der kürzlich bekannt gewordene Angriff auf die amerikanische Discounter-Kette Target konnte jetzt zu einem Individuum zurückverfolgt werden, das allem Anschein nach aus der Ukraine heraus operiert. Die gestohlenen Kreditkarteninformationen werden in russischsprachigen Foren verkauft. Obwohl Cyber-Kriminalität natürlich nicht ausschließlich in Osteuropa stattfindet, war der Anstieg der Kriminalität in dieser Gegend sicher durch den Aufstieg und den Sturz der Sowjetunion beeinflusst. Ein weiterer Faktor ist die Menge an gut ausgebildetem, technischem Personal, gepaart mit dem Mangel an lukrativen Job-Angeboten. Dieser Zustand hat Netzwerke von talentierten Cyber-Kriminellen hervorgebracht. Da das Risiko einer Verfolgung sehr gering ist, blühen diese Netzwerke weiterhin auf.

Diese Netzwerke werden mithilfe von Partnermodellen organisiert, sogenannten “partnerkas”. Partnerkas beruhen auf einer Reihe von fragwürdigen Beziehungen, die es den Cyber-Kriminellen erlauben, von Aktivitäten wie Spam, Fake AntiVirus, Clickfraud oder Ransomware zu profitieren. Bei diesem Model werden Entwicklung und Distribution unter mehreren Akteuren aufgeteilt. Partnerka liefert das Produkt – ob Malware Binaries oder Pharmazeutika – und die Mitglieder verteilen es. Um ihre Operationen durchzuführen verlassen sich Partnerkas auf Payment Processing Capabilities, bombensicheres Hosting und den Schwarzmarkt.

Die Fähigkeit, Kreditkartenzahlungen über Firmen wir Chronopay abzuwickeln, erlaubt es Cyber-Kriminellen, die Installation von falscher Antiviren Software in Rechnung zu stellen, Kreditbetrug zu begehen und pornografische Websites zu unterstützen. Interessanterweise gibt es viele Überschneidungen der Porno-Website Industrie in Russland mit Cyber-Kriminellen, etwa das Auftauchen sogenannter Porndialers.

Ihre Server vor Strafverfolgung zu schützen ist für Botnet Operateure essentiell – genannt wird diese Fähigkeit „Bulletproof Hosting“. Der bekannteste Bulletproof Hosting Server ist das nicht mehr bestehende Russian Business Network. Zusätzlich zu dem Hosting von Command und Control Servern betrieb die Gruppe auch Phishing Webseiten und Websites für Kindesmissbrauch. Während das RBN zwar nicht mehr existiert, erfüllen inzwischen mehrere kleine Akteure diese Rolle.

Es gibt unzählige Möglichkeiten für den Schwarzhandel, vor allem Foren, die den Entwicklern ein Cybercrime Ecosystem bieten, um sich mit Distributoren und Service-Anbietern zu verbinden. Diese Foren bieten außerdem denjenigen eine Plattform, die die Früchte ihrer Aktivitäten verkaufen möchten – beispielsweise gestohlene Kreditkarten, Kontoinformationen oder Zeugnisse.

Aber zurück zu dem Angriff auf Target: Auch hier ist das beschriebene System wieder im Einsatz. Während noch nicht alle Details der Attacke bekannt sind, wurde die eingesetzte Malware, bekannt als KAPTOXA oder BlackPOS, von „ree4“ entwickelt, der sich Vermutungen zufolge in Russland befindet. Die Malware wurde in Foren für 1.800 – 2.300 US Dollar verkauft. Rescator, ein weiterer Akteur in diesen Foren, verkauft höchstwahrscheinlich Daten von Target Kunden. In Texas gab es Berichte über Verhaftungen von zwei Individuen, die mit gefälschten Kreditkarten erwischt wurden – inklusive solcher, die bei dem Target Angriff gestohlen worden sein könnten.

Zum Hintergrund: FireEye hat diese Informationen zusammengestellt und ist ein Anbieter von Next-Generation Threat Protection, es bietet Unternehmen Schutz vor Cyberangriffen

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken
Werbung

Entdecken Sie weitere Magazine

Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.