Weltmacht: Russlands Cyber-Kriminelle verdienen 4,5 Milliarden Dollar
Betrug bei Online-Banking, Phishing-Angriffe und Spam - Russlands Cyberkriminelle gehören zu den kommerziell erfolgreichsten der Welt. Der neueste Trend: Angriffe auf Einzelpersonen über Trojaner.
Die Internetkriminalität hat sich in den letzten Jahren stark gewandelt. Öfter als früher sind Hacker auch politisch motiviert. (Foto: dustballflickr)
Es sind gewaltige Summen, die hier im Spiel sind: Jüngsten Schätzungen zu Folge sollen russische Internetkriminielle im vergangenen Jahr sagenhafte 4,5 Milliarden Dollar verdient haben. Ihr Anteil am Gesamtvolumen von 12.5 Milliarden Dollar, das 2011 durch Cyberaktivisten weltweit erwirtschaftet wurde, liegt bei 36 Prozent. Das ist das Ergebnis eines Berichts der russischen Sicherheitsanalysefirma Group-IB, der nun veröffentlicht wurde.
In ihrem Bericht unterscheidet die Group-IB zwischen Cyberkriminellen, die in Russland leben und Russisch sprechenden Internetkriminiellen, zu denen auch Bürger aus Ländern der ehemaligen Sowjetunion und anderen Staaten zählen. In ihrem 28 Seiten starken Bericht schätzen die Forscher, dass sich allein der Anteil an russischer Cyberkriminialität auf 2.3 Milliarden Dollar verdoppelt hätte. Das gesamte russisch-sprachige Segment auf dem globalen Hackermarkt würde es hingegen auf 4,5 Milliarden Dollar bringen. Dieses Segment, so die Forscher weiter, sei traditionell doppelt so groß wie das allein auf Russland bezogene.
Webkriminalität führt zur Neuausrichtung der Mafia
Neben den Umsätzen in der Hacker-Branche konnten die Group-IB-Analysten für 2011 auch einige “Trends” herausarbeiten. So lag die Kontrolle des Marktes in den Händen der organisierten Kriminialität, die versuchen würden aller Prozesse um sich herum Herr zu werden. Dies habe auch zur Zusammenführung zweier krimineller Welten sowie zu einer Neuausrichtung der russischen Mafia geführt. War letztere traditionell in Drogen-und Waffenhandel involviert, komme jetzt auch die Computerkriminalität hinzu. Und das, so warnen die Analysten, könnte zu “einer explosionsartigen Zunahme von Angriffen” auf den Finanzsektor führen. Hier sei gerade der Online-Banking-Betrug eines der am schnellsten wachsenden Segmente innerhalb der Computerkriminalität – mit einem deutlichen Anstieg im Jahr 2011.
Mittlerweile, so stellen die Analysten fest, hätte sich der Cyberkriminalitätsmarkt “konsolidiert”. Einige wenige großen Gruppen seien aufgestiegen, die alle auf einer einheitlichen Grundlage operierten. Diese Gruppen seien miteinander verbunden und würden auch miteinander arbeiten. Sie tauschen kompromittierende Daten und Finanzgaunereien aus. Außerdem, informieren die Group-IB-Analysten, hätten auch einige andere nicht-technische Gruppen ihr Glück, darauf weist die Zunahme von Outsourcing-Dienstleistungen wie Beratung, Schulung und Verkauf von Malware und Exploits hin, versucht.
Der russische Cypercrime-Markt hat sich gefestigt
All diese Entwicklungen lassen die Experten zu dem Schluss kommen, dass “sich der russische Cypercrime-Markt in einer Phase des Übergangs von einem eher quantitativen zu einem mehr qualitativen Zustand hin befindet. Er bewegt sich weg von der chaotischen Entwicklung der Cyberkriminalität in der Welt.”
Am lukrativsten waren in Russland unter anderem Online-Banking-Betrug und Phishing-Angriffe. Hier wurden gut 942 Millionen Dollar umgesetzt. Auch mit Spam ließen sich schätzungsweise 830 Millionen Dollar verdienen. Insgesamt, so heißt es weiter, gehe der Trend eher dazu über Einzelpersonen zu attackieren anstelle etwa von Finanzunternehmen – zu den gängigsten Methoden zählte dabei der Einsatz von Trojanern. Außerdem konnten die Analysten eine Zunahme politisch motivierter DDoS-Attacken feststellen, die dazu genutzt wurden, Blogs, Foren und Medienseiten in Russland im Umfeld der Präsidentschaftswahlen auszuschalten.
Am Ende ihres Berichts sprach die Group-IB auch einige Empfehlungen zur Bekämpfung der Cyber-Kriminalität aus. Dazu gehörten unter anderem die Verschärfung der Strafen und des geltenden Rechts sowie eine enstprechende Ausbildung der Vollzugsbeamten – auch hinsichtlich der Untersuchungstechniken. Daneben sollte auch die internationale Kooperation auf diesem Gebiet dringend verstärkt werden.
Verdienen kommt von dienen, verdient haben die gar nichts, höchstens kassiert!
Bot-Netz: Virus Rmnet.12 infiziert über eine Millionen Windows-Rechner
Und wieder einmal hat ein russischer Antivirenherstellen – rein zufällig russisch? – ein neues Bot-Netz entdeckt. Von der nachfolgend angeführten Webseite können Sie eine kostenlose Boot CD (Dr Web Live CD) herunterladen, auf eine DVD brennen und damit Ihren Rechner auf Schadware, Viren und Trojaner überprüfen. Eine Menüoption erlaubt die Online-Aktualisierung der Virendatenbank (vermutlich aber nur bei Kabel-Internetverbindungen und nur selten bei WLAN). Wir empfehlen allerdings die Graphic-Version von Dr, Web zu aktivieren mit der Sie die gewünschten Fest- oder USB Festplatten auswählen und überprüfen können (logischerweise die Festplatte mit Windows). Ansonsten dauert der scan viele Stunden. Besonders wichtig: Die Virenprüfung erfolgt nicht auf Windows-Basis. Aber einige Stunden müssen Sie dennoch schon einplanen. Dr. Web ist nicht der Schnellste.
Es ist nicht nur sinnvoll, sondern auch logisch, dass man jeden Rechner mit mindesten zwei Partition einrichtet. Und bei Viren- und Trojanerprüfungen – die immer länger dauern – nur die Partition mit den Programmen, Windows und persönlichen Dateien überprüft. Zahlreiche Notebooks haben zwar ein Windows Backup auf einer versteckten Partition installiert, aber wenn Sie dieses aktivieren, sind Ihre gesamten installierten und gespeicherten Programm in einem schwarzen Loch verschwunden. Noch dramatischer und teurer wird der Schaden wenn die Festplatte komplett den Geist aufgibt (was 2.5 Zoll Laufwerke liebend gerne tun) Da Notebook-Hersteller heutzutage weder Driver CD’s noch eine Kopie des Windows mitliefern können oder wollen, dann kann der Schaden unermesslich werden. Schlimmer noch. viele Windowsversionen werden heimtückischerweise auf bestimmte Hardwareboards oder Hersteller “zugeschnitten” und das bedeutet, standard Windowsversionen können nicht mehr voll funktionsfähig installiert werden (Fehler bei der Grafik und Audio bzw. fehlende Driver). Nochmals die eindringlichste Warnung: Sichern Sie sich die Windows-Partition mit Acronis oder einem ähnlichen Programm welches Sie von einer DVD starten (booten) können.
Noch sinnvoller ist es, zwei physisch komplett getrennte Festplatten zu verwenden. Warum fast alle Notebooks diese sinnvolle Vorsichtsmassnahme
(Platz für zwei Festplatten) profilaktisch nicht einplanen, entzieht sich unseres Wissens. Und beim Kauf eines Notebooks ist unbedingt darauf zu achten, wie leicht man das Gerät zerlegen, Komponenten austauschen und verschiedene Betriebssystem installieren kann. Hände weg von jedem HP-Notebook (korrekterweise sollte es HP-Schrottbook heissen, besonders jene die von A1-Telekom verschenkt werden). Im übrigen kommen von A1-Telekom fast nur Schrott-Geräte (z-B. Modems) in Umlauf
Gemäss dieser erschreckenden Virus Beschreibung werden Schäden im System verursacht, die erfahrungsgemäss mit normalen Antivirenprogrammen kaum repariert werden können. Sichern Sie sich daher regelmässig Ihre gesamte Windows-Partition mit erfahrungsgemäss guten Backup-Programmen wie ACRONIS. Die Version 1010 sollte auch für Windows 7 funktionieren.
Bemerkenswert ist aber auch eine weitere, aber sehr seltene Funktion eines Schädlings: Nicht nur Cookies werden ausgewertet, sondern auch angeschlossene USB Laufwerke infiziert. Mit normalen “COOKIE” Reiniger werden aber nur “normale” cookies gelöscht. Die sogenannten “Flash-Cookies” bleiben weiterhin im System gespeichert. Um diese zu löschen verwenden wir den “Flash cookie cleaner” . Einen USB Schreibschuzt können Sie von dieser Seite runterladen: http://www.gaijin.at/dlusbwp.php
Passwörter könnten später dazu benutzt werden, um Netzwerk-Attacken zu planen und Webseiten zu infizieren
(24.04.12) – Doctor Web hat erneut ein Botnet entdeckt. Diesmal hat der Virus Win32.Rmnet.12 ein Bot-Netz mit mehr als einer Million Windows-Rechnern infiziert. Win32.Rmnet.12 agiert als Backdoor und stiehlt Passwörter, die auf populären FTP-Clients gespeichert sind. Die Passwörter könnten später dazu benutzt werden, um Netzwerk-Attacken zu planen und Webseiten zu infizieren. Win32.Rmnet.12 verarbeitet Befehle von einem Remote-Server, die unter Umständen das Betriebssystem lahm legen können.
Pierre Curien, Geschäftsführer Deutschland bei Doctor Web, sagte: “Erste Einträge zu Win32.Rmnet.12 in die Virus-Datenbank von Dr. Web erfolgten bereits im September 2011. Seitdem verfolgen unsere Analysten die Entwicklung. Der Virus greift Computer auf verschiedene Arten an – über infizierte Speichergeräte, mit infizierten auszuführenden Dateien oder unter Nutzung spezieller Skripts, die in HTML-Dokumente eingebettet sind. Doctor Web hat volle Kontrolle über das virale Netzwerk von Win32.Rmnet.12, sodass Angreifer keinen Zugriff mehr auf infizierte Computer haben. Um eine Infektion durch Win32.Rmnet.12 zu verhindern empfehlen wir, eine aktuelle Antiviren-Software zu benutzen und deren Viren-Signaturen aktuell zu halten. Die Lösung mit Dr.Web CureIt! oder Dr.Web LiveCD desinfiziert das System effektiv.” (angeblich!)
Win32.Rmnet.12 ist ein komplexer Multikomponenten-Virus, der aus verschiedenen Modulen besteht und sich selbst vervielfältigen kann. Beim Eindringen in ein System überprüft Win32.Rmnet.12, welcher Browser als Standard-Browser installiert ist und injiziert seinen Code in den Browser-Prozess. Falls der Standard-Browser nicht identifiziert werden kann, attackiert der Virus den Microsoft Internet Explorer. Dann benutzt er die Festplatten-Seriennummer, um seinen eigenen File-Namen zu generieren, speichert sich selbst im Autorun-Ordner des jeweiligen Users und vergibt das Attribut “hidden” an die von ihm erzeugte Kopie. Die Virus-Konfiguration wird im gleichen Ordner gespeichert. Danach nutzt der Virus eine in ihm enthaltene Funktion, um den Namen eines Control-Servers zu bestimmen. Anschließend versucht er, sich mit diesem zu verbinden.
Eine der Viruskomponenten ist eine Backdoor-Trojanerin. Nach dem Eindringen versucht sie, die Geschwindigkeit der Internet-Verbindung zu bestimmen. Sie sendet Anfragen an google.com, bing.com und yahoo.com in 70-Sekunden-Intervallen und analysiert die Antworten. Anschließend startet Win32.Rmnet.12 einen FTP-Server auf der infizierten Maschine, verbindet sich mit einem Remote-Server und überträgt die Informationen über das infizierte System an die Eindringlinge. Der Backdoor-Schädling kann vom Remote-Server empfangene Befehle ausführen, im Speziellen um beliebige Dateien herunterzuladen und auszuführen, sich selbst zu aktualisieren, Screenshots zu erstellen und diese zu den Angreifern zu senden und schließlich das Betriebssystem lahmzulegen.
Eine weitere Viruskomponente stiehlt Passwörter, die auf populären FTP-Clients gespeichert sind, wie z.B. Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP etc. Diese Information kann später dazu genutzt werden, um Attacken auf Netzwerke auszuführen oder weitere Malware auf Remote-Servern zu platzieren. Außerdem durchsucht Win32.Rmnet.12 die Cookies des Users, sodass die Angreifer Zugang zu Accounts des Users erhalten können, die eine Authentifizierung voraussetzen. Zusätzlich kann diese Komponente den Zugang zu betimmten Seiten blockieren und den User zu einer Webseite umleiten, die von den Virenautoren kontrolliert wird. Eine der Win32.Rmnet.12-Modifikationen ist in der Lage, mittels Web-Injections Informationen über Bankkonten zu stehlen.
Der Virus verbreitet sich über verschiedene Wege. Er benutzt Browser-Schwachstellen, die es Eindringlingen ermöglichen, ausführbare Dateien über das Laden einer Webseite zu speichern und zu starten. Der Virus sucht auf allen vorhandenen Festplatten und Partitionen nach gespeicherten HTML-Dateien und bettet den VBScript-Code dort ein. Zusätzlich infiziert Win32.Rmnet.12 alle .exe-Dateien und kann sich selbständig auf Wechseldatenträger kopieren. Er speichert eine Autorun-Datei und einen Shortcut zu einer schädlichen Anwendung im Stammverzeichnis angeschlossener Wechseldatenträger, wodurch das automatische Ausführen des Schadcodes möglich wird.
Das aus mit Win32.Rmnet.12 infizierten Hostrechnern bestehende Botnetz wurde von Doctor Web bereits 2011 identifiziert, als die Analysten auf das erste Virensample stießen. Sie entschlüsselten bald die Namen der Control-Server, welche im disassemblierten Code von Win32.Rmnet.12 gefunden wurden. Danach entschlüsselten die Analysten das Protokoll, das für die Kommunikation zwischen Bots und Control Servern benutzt wurde und die Kontrolle über die Bots ermöglichte. Am 14. Februar kreierten die Analysten ein Sinkhole, registrierten Domain-Namen verschiedener Server, die eines der Win32.Rmnet.12-Netzwerke kontrollierten und erhielten so volle Kontrolle über das Botnetz. Ende Februar wurde ein weiteres Win32.Rmnet.12-Subnetz auf diesem Weg gehijackt. Zu Beginn war die Anzahl der Bots relativ gering und erreichte einige Hunderttausend, jedoch stieg die Zahl weiter an. Am 15. April umfasste das Win32.Rmnet.12 Botnetz bereits 1.400 520 Hosts und wuchs stetig weiter. (Dr. Web: ra)
http://www.drweb-online.com/deu/download_iso.asp?rpid=
Die sollten an Micr*soft Provision bezahlen, ohne deren QUALITÄTSPRODUKTE gäbe es wahrscheinlich weniger Cyber-Kriminalität.
Ich hab mal gehört es soll Betriebssysteme geben, bei denen es gar keine Trojaner und all so ein zeug gibt. Wir nehmen halt Windows des keneme halt. Na denn sind sie halt selber schuld. Do koma halt nix mache, gell