Posts tagged: Cyberkriminelle

Erweitertes Businessmodell für Cyberkriminelle

Das nicht mehr wie in den frühen, glorifizierten Zeiten der Ruhm des Hackers im Vordergrund steht, sondern harte Dollar-Währung, dürfte mittlerweile auch bei dem letzen Computer-Besitzer angekommen sein. Wie schon in den Postings über den Wert eines gehackten PCs für den Hacker auf dieser Seite erwähnt, steht nicht allein die “Datenernte” (FTP-Accounts, Mail-Accounts, Kreditkartennummern, etc.) im Zentrum des Interesses. Gerade die Kontrolle über den gehackten PC, die Möglichkeit dort Software zu installieren und ihn fernzusteuern, wird mehr und mehr zum Businessmodell für Hacker. Zentral für dieses Geschäftsmodell sind “elektronische Handelsplattformenen”, auf denen gehackte PCs, bzw. der Zugang dazu, verkauft und geordert werden können.

Das Neue an dem Handel mit gehackten Rechnern, wie es am Beispiel des Golden Cash Network & Botnets durch den IT-Dienstleister Finjan in dem lesenwerten Cybercrime Intelligence Report beleuchtet wird, ist die Beobachtung, dass gehackte Rechner auf der Handelsplattform nicht als One Time Asset gesehen werden, sondern mehrfach verkauft werden und von jedem neuen “Käufer” erneut mit einer eigenen Schadsoftware ausgestattet werden können – oft mit dem Ziel weitere Rechner zu infizieren, um diese an andere Cyberkriminelle weiterzuverkaufen, die einen “anderen” Nutzungszweck für die Maschinen haben.

Das Businessmodell in in Stichpunkten:

  1. Opfer besucht eine kompromittierte Website
  2. Ãœber ein IFrame wird Schadsoftware von einem Server Angriffswerkzeugen nachgeladen
  3. Ist mit diesen Angriffswerkzeugen die Übernahme des Rechners des Opfers möglich, wird ein spezieller Trojaner von dem Golden Cash Server installiert
  4. Nach der Installation meldet sich der Trojaner am Golden Cash Server an und wird von diesem in den Pool der vom Golden Cash Server kontrollierten Maschinen übernommen.
  5. Dem Golden Cash Konto des Hacker, der die Infektion über den IFrame und den Schadcode ermöglicht hat, wird ein Betrag x gutgeschrieben, wobei der Betrag von dem Ort abhängt, an dem der gehackte Rechner steht…
  6. Der Golden Cash Server weist den Trojaner an auf dem Rechner des Opfers nach FTP-Zugangsdaten zu suchen.
  7. Der infizierte Rechner des Opfers wird über eine spezielle Website anderen (Cyber-)Kriminellen angeboten, wobei der Preis davon abhängt, wo dieser Rechner steht
  8. Nach dem Kauf durch den “neuen” Kriminellen wird der Rechner des Opfers mit dessen Schadsoftware infiziert – mit dem Trojaner im Hintergrund keine Leistung mehr ;-)
  9. Für die Installation der neuen Schadsoftware durch den Golden Cash Trojaner wird das Konto des  “neuen” Kriminellen mit einem Betrag y belastet
  10. Gehe nach 7. (Der Rechner wird weiteren Kriminellen zur Infektion angeboten)

Besonders schön an diesem Beispiel ist, dass hier die Preise für gehackte PCs publik gemacht werden, die mit 0,5 Cent (Währung Dollar) bis hin zu 10 Cent (Währung Dollar) pro kontrolliertem, aber schon abgeerntetem Rechner so gering sind, dass für jedermann nachvollziehbar ist, dass hier nur durch eine große Zahl gehackter Rechner wirklich relevanter Umsatz gemacht werden kann.

Ein Virenscanner bietet in diesem Szenario nur dann Schutz, wenn die Filter für die Erkennung der Schadsoftware die oft für jeden Angriffslauf modifizierten Exploits erkennen und ausschalten können. Nahezulegen sind Virenscanner wie F-Secure Anti-Virus , AntiVir , Norton Internet Security, Norton Internet Security aber allemal…