Cisco hat Aktivitäten einer Hackergruppe zum Erliegen gebracht, die den unbekannten Tätern jährlich bis zu 30 Millionen Dollar eingebracht haben sollen – allein durch Erpressersoftware. Sie nutzen demnach das Exploit-Kit Angler, um mithilfe von Schwachstellen im Internet Explorer sowie in den Browser-Plug-ins Flash und Silverlight Malware für Windows zu verbreiten.
In 74 Prozent der Fälle erreicht der Schadcode wenig überraschend über Adobe Flash die Rechner. Mit einem Anteil von 24 Prozent landet der Internet Explorer auf dem zweiten Platz. Nur 2 Prozent der Angriffe entfallen auf Silverlight. Überraschenderweise nutzt das Exploit-Kit Lücken in Java nicht aus. Die Angriffe richteten sich gegen bis zu 90.000 Nutzer täglich.
Einem Blogeintrag zufolge ist es Ciscos Sicherheitssparte Talos Group gelungen, Sicherheitslücken zu stopfen, die benutzt wurden, um Anwender auf Angler-Proxy-Server umzuleiten. Die meisten davon wurden offenbar vom Service Provider Limestone Networks gehostet. Die Gruppe, gegen die Cisco vorgegangen ist, war allerdings nur für rund 50 Prozent der Angler-Aktivitäten verantwortlich.
„Das ist ein bedeutender Schlag gegen die Hacker-Economy, die mit Ransomware und dem Schwarzmarktverkauf von gestohlenem geistigen Eigentum, Kreditkartendaten und persönlichen Informationen Hunderte Millionen Dollar jährlich generiert“, schreiben die Forscher. Angler wiederum sei das „fortschrittlichste und beunruhigendste Exploit Kit auf dem Markt – entwickelt, um Sicherheitsgeräte zu umgehen und die größtmögliche Zahl von Geräten anzugreifen“.
Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.
In Zusammenarbeit Limestone haben die Cisco-Forscher nach eigenen Angaben Datenverkehr der Angler-Proxy-Server ausgewertet und dabei neue Erkenntnisse über Angler gewonnen. „Angler nutzt eine Proxy/Server-Konfiguration. Es gibt einen Exploit-Server, der für die Verbreitung der schädlichen Aktivitäten über mehrere Proxy-Server verantwortlich ist. Der Proxy-Server ist das System, mit dem Nutzer kommunizieren, was es den Tätern erlaubt, sich schnell anzupassen, während sie ihren Exploit-Server vor einer Entdeckung schützen.“
Darüber hinaus überwache ein Health-Server das gesamte System und sammle Informationen über infizierte Host-Computer, so Cisco weiter. Einer dieser Health-Server habe im Juli 147 Proxy-Server kontrolliert und einen Umsatz von mehr als 3 Millionen Dollar generiert. Die Proxy-Server wiederum wurden von 17 unterschiedlichen Providern gehostet, darunter auch der deutsche Anbieter Hetzner. „Auch wenn Hetzner und Limestone Networks die wichtigsten Angler-Quellen waren, Limestone war der größte Provider. Im Juli hostete Limestone mehr als ein Drittel der IP-Adressen, über die Angler verbreitet wurde“, ergänzten die Forscher.
Die Server hätten die Hacker mit gestohlenen Kreditkarten gekauft, heißt es weiter in dem Blogeintrag. Alleine Limestone habe dadurch einen Umsatzverlust von rund 10.000 Dollar pro Monat erlitten.
[mit Material von Zack Whittaker, ZDNet.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
