Schattenwirtschaft Malware-Entwicklung als Service

Autor / Redakteur: Rüdiger Trost / Stephan Augsten

Cybercrime ist ein Wachstumsmarkt. Doch die meisten Vorfälle sind nicht auf Hacking-Spezialisten zurückzuführen. Im Bereich der Schattenwirtschaft tummeln sich immer mehr Laien, die sich das schnelle Geld erhoffen. Dieser Beitrag bietet einen Vorgeschmack auf F-Secures Vortrag im Rahmen der IT-SECURITY MANAGEMENT & TECHNOLOGY Conference 2015.

Firma zum Thema

Die Ransomware CTBLocker zielte darauf ab, möglichst viele Kleinbeträge zu erpressen.
Die Ransomware CTBLocker zielte darauf ab, möglichst viele Kleinbeträge zu erpressen.
(Bild: F-Secure)

Wenn es nach dem Threat Report von F-Secure geht, dann zeigte sich das Jahr 2014 wahrhaft erpresserisch: Wir verzeichneten einen Anstieg der Online-Attacken mit Ransomware, bei denen es nur darum ging, die Daten der potenziellen Opfer zu verschlüsseln und ein Lösegeld zu erpressen.

Für Endbenutzer ist Ransomware heute die bekannteste Art der digitalen Bedrohung. Und durch virtuelle Währungen wie etwa Bitcoin wird es immer einfacher für Kriminelle, an die Ransomware zu gelangen und es auf ihre Opfer anzuwenden, was die Sache für sie profitabler und nützlicher macht.

In diesem Zusammenhang macht seit Kurzem auch der Ransom Trojaner CTB-Locker von sich reden. Dieser Trojaner ist zum einen deswegen so heimtückisch, weil er für jedes Opfer seinen Hash-Wert neu generiert und damit signaturbasierte Virenscanner keine Chancen gibt, ihn zu erkennen. Zum anderen aber weil es bislang gibt es keine Möglichkeit, die Verschlüsselung von CTB-Locker aufzuheben.

Das „C“ in CTB steht für „Curve“ und ist die persistente Kryptographie auf Basis elliptischer Kurven, die die betroffenen Dateien mit einem einzigartigen RSA-Schlüssel verschlüsselt. Deswegen steht der Schadcode bei Cyber-Kriminellen auch so hoch im Kurs.

Wenn Laien mit Erfolgen prahlen

Der User redditCTB stellte sich im Februar 2015 einem „Ask me anyhing“ auf Reddit und behauptete, dass er mit CTB-Locker innerhalb weniger Wochen bis zu 300.000 US-Dollar machen konnte – ohne großes Risiko erwischt zu werden. Warum? Er habe das Lösegeld so gering gewählt, dass die Opfer bereit waren, zu bezahlen. Der finanzielle Schaden jedes Einzelnen ist überschaubar gewesen, wirklich hinterfragt wurde die Aktion nicht.

Dass redditCTB offensichtlich nicht der eigentliche Entwickler von CTB-Locker war, stellte sich während der Fragerunde schnell heraus. Er ist nichts anderes als ein Kunde, der den Trojaner sowie ein Exploit Kit gekauft hat. Bei den Entwicklern handelt es sich um eine russische Gang, die den Trojaner vertrieben hatte. Warum treten die Entwickler mit einem Affiliate-Programm auf? Weil sie das entsprechende Know-How haben und fast keine Gesetze brechen.

Mit der Entwicklung und dem Vertrieb einer Malware macht man sich – zumindest in Russland – nur unwesentlich strafbar. Wer den Trojaner entwickelt, infiziert damit zunächst einmal keine Rechner, verschlüsselt keine Daten und verlangt auch kein Lösegeld. Er verkauft das Produkt lediglich an Menschen, die das eigentliche Verbrechen begehen.

So distanzieren sich die Entwickler von der eigentlichen Cyber-Kriminalität. Dieses Affiliate-Modell ist aber bekanntlich nicht neu. Ein Trojaner, der genauso wie CTB-Locker aus Russland kommt und auf die gleiche Weise vertrieben wird, ist der Banking-Trojaner Zeus. Das gleiche gilt im Übrigen für viele Exploit Kits.

Die Geschäftsmodelle im Allgemeinen

Die Entwicklungen der Payloads der vergangenen Jahre zeigen, dass Malware, die Daten mutwillig zerstört, äußerst selten geworden ist. Die reine Zerstörung von Daten bedeutet nämlich keinen greifbaren Gewinn für den Angreifer.

Kommt es zu einem malwarebedingten Datenverlust oder zum Anzeigen von Meldungen, so ist die Infektion außerdem einfach zu erkennen. Entfernt das Opfer die Malware, können von diesem Computer keine weiteren Infektionen ausgehen – ein nicht wünschenswerter Zustand für den Angreifer.

Keines der Top-Schadprogramme hat ab dem Jahr 2004 noch das Ziel der Datenzerstörung verfolgt. Vielmehr tauchte hier erstmals Malware zum Zwecke des Datendiebstahls auf. Angreifer versuchen nun, mit Hilfe von Malware an jede Art von Daten zu gelangen, die für sie selbst oder Dritte einen Wert darstellen könnten. Diese Daten lassen sich auf mehreren Wegen zu Geld machen.

Profitorientierten Malware-Autoren ist es möglich, flexibler zu reagieren. Mit dem dadurch verdienten Geld können sie weitere legale und illegale Dienstleistungen in Anspruch nehmen, um ihr Geschäftsmodell weiter voran zu treiben. Für einen Malware-Autoren, der es nicht auf das Anbieten eines Affiliate-Modells abgesehen hat, ist dies nur durch das Akzeptieren von Verlusten möglich, da kein Einkommen durch die Malware zu erwarten ist.

Das Tor zur illegalen Handelsplattform

Für die Bezahlung der illegalen Waren oder der zugekauften Malware verwenden die Akteure verschiedene online verfügbare Bezahlsysteme. Da die Parteien möglichst anonym bleiben möchten, werden natürlich Zahlungsmöglichkeiten bevorzugt, welche ohne Identitätsprüfung verwendet werden können.

Im Falle des CTB-Lockers, wobei das „B“ darin für Bitcoin steht und „T“ für Tor, sagt auch schon aus, in welcher Währung und über welchen Kanal gezahlt werden kann. Die Abwicklung der Transaktion erfolgt deswegen meistens über das Tor-Netzwerk, da die User nur sehr schwer zurückverfolgt werden kann und es somit eine gewisse Anonymität bietet.

Angreifer würden alles attackieren, wenn es sich lohnt

In einer Welt, in der Alltagsgeräte wie Toaster, Waschmaschinen oder Autos untereinander vernetzt sind, ergeben sich erstaunliche Möglichkeiten. Aber ein „intelligentes“ Gerät bedeutet nur ein weiteres Gerät, das für unlautere Zwecke ausgenutzt werden kann.

Doch wieso sollte ein Angreifer smarte Autos oder smarte Uhren ins Visier nehmen? Hauptsächlich geht es wie immer um den finanziellen Profit. Angreifer könnten die Elektronik im Auto blockieren, die Insassen darin einsperren und erst wieder freigeben, wenn diese ein Lösegeld bezahlt haben.

Dieses Beispiel klingt vielleicht noch nach Science Fiction, ist aber gar nicht mal so unrealistisch. Ein solcher Fall könnte wohlmöglich in der nahen Zukunft bald eintreffen – auf Basis eines Affiliate Modells. Angreifer würden auch intelligente Toaster oder Kühlschränke angreifen, wenn sie finanziell davon profitieren würden.

Dem Angreifer nicht die Breitseite zeigen

Ein immer wichtigerer Teil der Internet-Sicherheit ist es, die Motive der Angreifer zu verstehen. So wird ersichtlich, warum bestimmte Angreifer bestimmte Kombinationen von Malware und Taktiken verwenden. Man wird sich nur schwer verteidigen können, wenn nicht klar ist, wer die Angreifer sind.

Die Zuordnung von Attributen zu den Angreifern ist eines der wichtigsten Dinge, damit Unternehmen sich schützen und die Angriffsfläche gering halten können. Die schlechte Nachricht ist: Wenn ein Hacker sich Zugang zu einen Firmennetz oder den heimischen Computer verschaffen will, dann wird er das auch erreichen. Es ist nur eine Frage des Aufwands.

Die gute Nachricht ist aber: Viele Angriffe erfolgen genau nach dem erwähnten Schema. Cyber-Kriminelle kaufen sich Trojaner sowie Exploit Kits und wenden es großflächig an – in der Hoffnung, dass möglichst viele Computer verschlüsselt werden und ein paar Opfer das Lösegeld zahlen. Und wie der Fall des Users redditCTB gezeigt hat, waren es immerhin fünf bis sieben Prozent, die Tribut entrichteten. Ein Geschäft, das sich für redditCTB ausgezahlt hat.

* Rüdiger Trost ist Sicherheitsexperte von F-Secure.

(ID:43349512)