Sicherheitsforscher von Check Point haben in Zusammenarbeit mit Terbium Labs, einer Dark-Web-Data-Intelligence-Firma die Malware-as-a-Service mit Namen „DiamondFox“ untersucht und stellen die Ergebnisse in einem 26-seitigen Report vor: http://blog.checkpoint.com/wp-content/uploads/2017/05/DiamondFox_Report_170509.pdf
In den letzten Jahren hat sich die organisierte Kriminalität im Bereich Cybercrime immer stärker professionalisiert. Durch das Phänomen Malware-as-a-Service können auch Kriminelle, die nicht über entsprechende Programmier- oder tiefergehende IT-Kenntnisse verfügen, Schadsoftware erwerben und einsetzen. Zu den bisher bekannten Malware-as-a-Service-Angeboten gehören Drive-by-Attacken, Ransomware, Banking-Trojaner und weitere Angriffs-Tools. Die Bezahlung erfolgt auf unterschiedlichsten Wegen.
BKA-Lagebild Cybercrime
Diese Entdeckung der beiden Sicherheitsfirmen deckt sich auch mit den Erkenntnissen des BKA im immer noch aktuellen Lagebild Cybercrime 2015. Dort wird auf Seite 7 unter 2.3 Organisierte Kriminalität ein Wachstum bei kriminellen Gruppierungen verzeichnet. Waren dem BKA im Jahr 2013 noch nur 6 Gruppierungen bekannt, stieg diese Anzahl auf 12 im Jahr 2014 und erhöhte sich auf 22 im Jahr 2015:„Gemessen an der Gesamtzahl der im Jahr 2015 registrierten OK-(organisierte Kriminalität) Gruppierungen (566) bewegt sich der Anteil der im Bereich #Cybercrime aktiven Gruppierungen zwar immer noch auf einem relativ niedrigen Niveau, die Tendenz ist jedoch steigend“. Das BKA-Lagebild: https://www.bka.de/SharedDocs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/cybercrimeBundeslagebild2015.html?nn=28110
Bei der „DiamondFox“ Malware-as-a-Service handelt es sich um ein modulares Botnetz, dass in verschiedenen Untergrundforen gemietet werden kann und aus verschiedenen Plug-Ins besteht sowie die Planung von verschiedenen Kampagnen zulässt. Mit dem #Botnetz lassen sich Spionage-Aktivitäten durchführen (Key-Logging/Browser-Passwort-Klau), Identitäten stehlen (z.B. um Crypto-Currency-Wallets auszurauben) und sogar #DDoS-Attacken starten.
Die Sicherheitsexperten beider Firmen bezeichnen Diamondfox als „One-Stop-Shop“, es handelt sich also um einen Service, bei dem nur einmal das Programm heruntergeladen werden muss. Über Plug-Ins können weitere Funktionen später nachgekauft werden. Die technische Analyse zeigt die Skalierbarkeit des Angebots. Die Sicherheitsforscher vergleichen diesen Malware-Service dadurch mit dem Cerber-Ransomware-as-a-service und dem Sundown-Exploit-Kit, die ähnlich benutzerfreundlich aufgebaut sind.
Der Darknet-Name des Verkäufers ist „Edbitss“, der sich auch mit der weiteren Entwicklung beschäftigt. Der Report enthält einige pikante Details und Screenshots zu Unterhaltungen zwischen „Edbitss“ und seinen Käufern. Zudem erkennen die Forscher, dass die Hintermänner auf Supportanfragen schnell reagieren und das Angebot weiterentwickeln.
Kunden von Check Point sich durch die folgenden Sicherheitstechnologien geschützt:
- Antivirus Software Blade – blockt alle derzeit bekannten Varianten von #Diamondfox ab.
- Anti-Bot Software Blade – detektiert und blockt jeden Versuch ab, mit Diamondfox C&C Adressen zu kommunizieren.
#Netzpalaver
#CheckPoint
