+43 699 / 18199463
office@itexperst.at
IT Betrügereien verwenden als Schaltzentrale häufig US-Datenzentren

IT Betrügereien verwenden als Schaltzentrale häufig US-Datenzentren

Das IT-Sicherheitsunternehmen Bromium Labs ist seit einiger Zeit einer Hackergruppe auf der Spur, die groß angelegte Malwareangriffe gegen internationale Banken durchgeführt hatte. Ganz geschickt haben sich die Hacker dabei US-Datenzentren als Verteiler von bösartiger Scam-Malware ausgesucht. Typischerweise werden solche Angriffe von außerhalb der USA gestartet, da dort es schwieriger ist, den Hintermännern habhaft zu werden. Was die Vorteile dafür angeht, hieß es seitens Bromium Labs dazu:

„Hosting-Anbieter in den USA zu wählen, macht die HTTP-Verbindungen zum Herunterladen der Malware mit größerer Wahrscheinlichkeit erfolgreicher. Denn viele Unternehmen blockieren den Verkehr in und aus Ländern, die außerhalb ihres typischen Netzwerkverkehrsprofils liegen.“

Anfang April veröffentlichten die Forscher von Bromium Labs ihre Funde im Detail. Demnach begann die Hackergruppe ihre Aktionen im Mai 2018. Im März 2019 war schon alles wieder vorbei. In dem Zeitraum wurden fünf Gruppen von Banken-Trojanern, zwei Gruppen Ransomware und drei verschiedene Malwareformen genutzt, um massenweise Scam-E-Mails im Auftrag anderer Krimineller zu verteilen via elf verschiedener Webserver der Hostingfirma BuyVM in Nevada. Es gibt, laut den Bromium Labs keinen Hinweis darauf, dass die Server jemals zu legitimen Zwecken verwendet wurden, sondern nur zum Hosten und Verteilen von Malware. BuyVM ist in den USA bekannt für seine günstigen Webhosting-Tarife. Über BuyVM sind derzeit etwa 53.000 IP-Adressen registriert.

Die identifizierten Webserver gehörten wohl zu einem einzigen autonomen System, registriert unter dem Netzwerknamen PONYNET mit 52.992 IP-Adressen. Der Hosting-Anbieter, dem PONYNET gehört, heißt FranTech Solutions. BuyVM gehört zu FranTech, das VPS-Hosting-Services vertreibt. Und dessen betroffene Rechenzentren befanden sich in Nevada.

Bromium identifizierte die Malwarestränge namens Neutrino, IcedID, GandCrab und Dridex. Es gab deutliche Hinweise darauf, dass diese Aktivitäten sich mit dem Botnetz von Necurs verknüpfen ließen. Necurs operiert weltweit seit etwa sieben Jahren recht aktiv. Es stellt Spam und Malware wie Dridex oder Locky bereit. Allein in einer Woche fand man solche Malware in über 14 Millionen E-Mails. Laut Bromium, konnte

„…die gesamte, von uns untersuchte gehostete Malware mit bösartigen Spam-Kampagnen verbunden werden, die den Taktiken, Techniken und Verfahren (TTPs) und dem Geschäftsmodell des Necurs-Botnets entsprechen.“

Bromium fand auch heraus, dass alles nach einer voll durch-organisierten Fulfillment-Operation im „Amazon-Stil“ ablief. Eine Gruppe war für das E-Mail und Hosting verantwortlich, eine andere für den Betrieb der Malware. Alles lief über den Engpass der Hosting-Infrastruktur bei BuyVM.

„Die Trennung von Führung und Kontrolle von Hosting und Vertrieb“

ließ vermuten, so die Forscher weiter,

„dass die von den Opfern gestohlenen Daten wahrscheinlich an anderer Stelle gespeichert werden.“

Die Forscher fanden bei ihren Untersuchungen heraus, dass der Webserver ungewöhnlicherweise die HTTP-Basisauthentifizierung verlangte. Das wurde offensichtlich absichtlich eingestellt, um zu verhindern, dass die ausführbare Datei ohne korrekten Benutzernamen und Passwort heruntergeladen wird. Vermutlich eine Sicherheitsmaßnahme, um Ermittlungen von Sicherheitsforschern zu behindern. Aber die Bromium-Forscher konnte dies nicht abhalten weiterzumachen. Benutzername und Passwort war ganz simple „username“ und „password“. Die Forscher fanden auch den Namen einer abgelieferten Datei heraus: „test1.exe“. Sie deuteten dies als mögliche Testkampagne für die Vorbereitung einer bevorstehende größeren Dridex-Angriffskampagnen oder ähnlichen Kampagnen sein.

SANS Sicherheitsexperte John Pescatore sagte zu diesem Vorfall, dass Risikobewertungsdienste wie BitSight und SecurityScorecard auf viele Cloud- oder Hosting-Services hingewiesen hätten, die ein hohes Maß an Verkehr von bekannten Malware-Kommandos und Kontrollüberwachungen zeigten. Pescatore ergänzte, es sei jedoch oft nicht ganz einfach zu sagen, ob dies daran liegt, dass legitime Kunden kompromittiert wurden oder dass böse Jungs direkt für das Hosten ihrer Dienste bezahlen. Im Übrigen, so Pescatore weiter, würden physische Speicher seit vielen Jahren auch von kriminellen Unternehmen in der physischen Welt angemietet und genutzt.

Artikel von cyberscoop.com, 04.04.2019: Nevada data center used to distribute Dridex, GandCrab malware right under the FBI’s nose
Artikel von darkreading.com, 04.04.2019
Artikel von bromium.com, 04.04.2019: Mapping Out a Malware Distribution Network

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen