Categories: SicherheitVirus

Trustwave: Exploit-Kit Magnitude wächst durch ungewöhnliches Geschäftsmodell

Trustwave informiert über ein zunehmend beliebtes Exploit-Kit namens Magnitude, dessen Erfolg sich auf sein ungewöhnliches Distributionsmodell zurückführen lässt. Es wird nämlich kostenlos verteilt, während sonst solche Malware-Baukästen eine Zahlung vorab erfordern. Stattdessen reklamieren die Autoren 5 bis 20 Prozent der infizierten Maschinen für sich und infizieren diese mit einer Ransomware.

Seine Erkenntnisse über Magnitude, das zunächst PopArt geheißen hatte, legte Trustwave vergangene Nacht auf der Sicherheitskonferenz Black Hat in Las Vegas dar. Es berichtet, es habe die Verbreitung verfolgt und acht Kommandoserver identifiziert, von denen drei in Großbritannien stünden, vier in den Niederlanden und einer in der Ukraine. Pro Monat gelinge es den Kriminellen, mit Angriffen auf rund 1,1 Millionen IP-Adressen bis zu 210.000 Systeme zu infizieren.

„Wir haben Fälle gesehen, in denen die Leute eine große Zahl Maschinen infiziert haben, und der Teil, den sie abtreten musste, war kleiner als ein Fünftel – vielleicht 5 Prozent. Das scheint eine Art Volumenrabatt zu sein“, erklärt Ziv Mador, Forschungsdirektor bei Trustwave.

Die von den Exploit-Kit-Autoren genutzte Ransomware Cryptowall Defense geht ähnlich vor wie das berühmte Cryptolocker: Sie verschlüsselt die Dateien der Anwender und verlangt für die Herausgabe ein in Bitcoin zu zahlendes Lösegeld. Aus einer Beobachtung dafür genutzter digitaler Geldbörsen schließt Trustwave, dass sie so 60.000 bis 100.000 Dollar je Woche einnehmen.

Aber nicht nur das ungewöhnliche Modell ist ein Grund für den Erfolg von Magnitude, nach der Verhaftung des mutmaßlichen Blackhole-Co-Autors „Paunch“ dürfte es auch eine Lücke gefüllt haben. Der Mann war im Oktober 2013 in Russland festgenommen worden. Gleichzeitig gelang es, den Aktualisierungsdienst für das Exploit-Kit Blackhole zu schließen und seinen Malware-Verschlüsselungsdienst unzugänglich zu machen.

„Ähnlich wie die Welt für legale Geschäfte ist die Cybercrime-Welt spezialisierter geworden“, sagt Mador. „Die Cybergang hinter Magnitude tut, was sie am besten kann, sie betreibt die Server, entwickelt die Exploits und baut die komplette Infrastruktur auf. Die Kunden, offenbar auch Cyberkriminelle – nichts davon ist legal -, müssen nur noch Traffic fürs Exploit-Kit heranschaffen und die Malware ihrer Wahl installieren.“

Die meisten Opfer hat die Malware bisher in den USA und dem Iran gefunden. Sie scheint zugleich in Entwicklungsländern ungewöhnlich effizient zu sein. Beispielsweise berichtet Trustwave, in Vietnam seien 68 Prozent aller Infektionsversuche gelungen. „Die Infektionsrate hängt vom Patchstand und dem Alter der Software ab – alte Browser sind natürlich anfälliger. Aber die Nutzung von Sicherheitsprodukten spielt auch eine Rolle.“

[mit Material von Max Smolaks, TechWeekEurope.co.uk]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

12 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

1 Tag ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

2 Tagen ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

2 Tagen ago