Exploit-Kit Angler: Cisco legt Hacker-Operation lahm

Cisco hat Aktivitäten einer Hackergruppe zum Erliegen gebracht, die den unbekannten Tätern jährlich bis zu 30 Millionen Dollar eingebracht haben sollen – allein durch Erpressersoftware. Sie nutzen demnach das Exploit-Kit Angler, um mithilfe von Schwachstellen im Internet Explorer sowie in den Browser-Plug-ins Flash und Silverlight Malware für Windows zu verbreiten.

In 74 Prozent der Fälle erreicht der Schadcode wenig überraschend über Adobe Flash die Rechner. Mit einem Anteil von 24 Prozent landet der Internet Explorer auf dem zweiten Platz. Nur 2 Prozent der Angriffe entfallen auf Silverlight. Überraschenderweise nutzt das Exploit-Kit Lücken in Java nicht aus. Die Angriffe richteten sich gegen bis zu 90.000 Nutzer täglich.

Laut Talos nutzt das Exploit-Kit Angler in 74 Prozent der Angriffe Schwachstellen in Adobe Flash. CVE-2014-6332 ist den Forschern zufolge dem Internet Explorer zuzurechnen, der damit Rang 2 belegt. Nur 2 Prozent der Angriffe gehen auf Schwachstellen in Silverlight zurück (Bild: Talos).

Einem Blogeintrag zufolge ist es Ciscos Sicherheitssparte Talos Group gelungen, Sicherheitslücken zu stopfen, die benutzt wurden, um Anwender auf Angler-Proxy-Server umzuleiten. Die meisten davon wurden offenbar vom Service Provider Limestone Networks gehostet. Die Gruppe, gegen die Cisco vorgegangen ist, war allerdings nur für rund 50 Prozent der Angler-Aktivitäten verantwortlich.

„Das ist ein bedeutender Schlag gegen die Hacker-Economy, die mit Ransomware und dem Schwarzmarktverkauf von gestohlenem geistigen Eigentum, Kreditkartendaten und persönlichen Informationen Hunderte Millionen Dollar jährlich generiert“, schreiben die Forscher. Angler wiederum sei das „fortschrittlichste und beunruhigendste Exploit Kit auf dem Markt – entwickelt, um Sicherheitsgeräte zu umgehen und die größtmögliche Zahl von Geräten anzugreifen“.

HIGHLIGHT

Wie Samsung Knox das S6 und S6 Edge mit My Knox sicherer macht

Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.

In Zusammenarbeit Limestone haben die Cisco-Forscher nach eigenen Angaben Datenverkehr der Angler-Proxy-Server ausgewertet und dabei neue Erkenntnisse über Angler gewonnen. „Angler nutzt eine Proxy/Server-Konfiguration. Es gibt einen Exploit-Server, der für die Verbreitung der schädlichen Aktivitäten über mehrere Proxy-Server verantwortlich ist. Der Proxy-Server ist das System, mit dem Nutzer kommunizieren, was es den Tätern erlaubt, sich schnell anzupassen, während sie ihren Exploit-Server vor einer Entdeckung schützen.“

Darüber hinaus überwache ein Health-Server das gesamte System und sammle Informationen über infizierte Host-Computer, so Cisco weiter. Einer dieser Health-Server habe im Juli 147 Proxy-Server kontrolliert und einen Umsatz von mehr als 3 Millionen Dollar generiert. Die Proxy-Server wiederum wurden von 17 unterschiedlichen Providern gehostet, darunter auch der deutsche Anbieter Hetzner. „Auch wenn Hetzner und Limestone Networks die wichtigsten Angler-Quellen waren, Limestone war der größte Provider. Im Juli hostete Limestone mehr als ein Drittel der IP-Adressen, über die Angler verbreitet wurde“, ergänzten die Forscher.

Die Server hätten die Hacker mit gestohlenen Kreditkarten gekauft, heißt es weiter in dem Blogeintrag. Alleine Limestone habe dadurch einen Umsatzverlust von rund 10.000 Dollar pro Monat erlitten.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

44 Minuten ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

1 Stunde ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

8 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

24 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Tag ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

1 Tag ago