FireEye: Wo sind die Kreditkarten? - Ein Blick auf den Schwarzmarkt der Cyber-Kriminalität
FireEye: Wo sind all die Kreditkarten hin? Ein Blick auf den Schwarzmarkt der Cyber-Kriminalität und deren Verbindung nach Osteuropa
MILPITAS, Calif., 06. Februar 2014 – Der kürzlich bekannt gewordene Angriff auf die amerikanische Discounter-Kette Target konnte jetzt zu einem Individuum zurückverfolgt werden, das allem Anschein nach aus der Ukraine heraus operiert. Die gestohlenen Kreditkarteninformationen werden in russischsprachigen Foren verkauft. Obwohl Cyber-Kriminalität natürlich nicht ausschließlich in Osteuropa stattfindet, war der Anstieg der Kriminalität in dieser Gegend sicher durch den Aufstieg und den Sturz der Sowjetunion beeinflusst. Ein weiterer Faktor ist die Menge an gut ausgebildetem, technischem Personal, gepaart mit dem Mangel an lukrativen Job-Angeboten. Dieser Zustand hat Netzwerke von talentierten Cyber-Kriminellen hervorgebracht. Da das Risiko einer Verfolgung sehr gering ist, blühen diese Netzwerke weiterhin auf.
Diese Netzwerke werden mithilfe von Partnermodellen organisiert, sogenannten “partnerkas”. Partnerkas beruhen auf einer Reihe von fragwürdigen Beziehungen, die es den Cyber-Kriminellen erlauben, von Aktivitäten wie Spam, Fake AntiVirus, Clickfraud oder Ransomware zu profitieren. Bei diesem Model werden Entwicklung und Distribution unter mehreren Akteuren aufgeteilt. Partnerka liefert das Produkt – ob Malware Binaries oder Pharmazeutika – und die Mitglieder verteilen es. Um ihre Operationen durchzuführen verlassen sich Partnerkas auf Payment Processing Capabilities, bombensicheres Hosting und den Schwarzmarkt.
Die Fähigkeit, Kreditkartenzahlungen über Firmen wir Chronopay abzuwickeln, erlaubt es Cyber-Kriminellen, die Installation von falscher Antiviren Software in Rechnung zu stellen, Kreditbetrug zu begehen und pornografische Websites zu unterstützen. Interessanterweise gibt es viele Überschneidungen der Porno-Website Industrie in Russland mit Cyber-Kriminellen, etwa das Auftauchen sogenannter Porndialers.
Ihre Server vor Strafverfolgung zu schützen ist für Botnet Operateure essentiell – genannt wird diese Fähigkeit „Bulletproof Hosting“. Der bekannteste Bulletproof Hosting Server ist das nicht mehr bestehende Russian Business Network. Zusätzlich zu dem Hosting von Command und Control Servern betrieb die Gruppe auch Phishing Webseiten und Websites für Kindesmissbrauch. Während das RBN zwar nicht mehr existiert, erfüllen inzwischen mehrere kleine Akteure diese Rolle.
Es gibt unzählige Möglichkeiten für den Schwarzhandel, vor allem Foren, die den Entwicklern ein Cybercrime Ecosystem bieten, um sich mit Distributoren und Service-Anbietern zu verbinden. Diese Foren bieten außerdem denjenigen eine Plattform, die die Früchte ihrer Aktivitäten verkaufen möchten – beispielsweise gestohlene Kreditkarten, Kontoinformationen oder Zeugnisse.
Aber zurück zu dem Angriff auf Target: Auch hier ist das beschriebene System wieder im Einsatz. Während noch nicht alle Details der Attacke bekannt sind, wurde die eingesetzte Malware, bekannt als KAPTOXA oder BlackPOS, von „ree4“ entwickelt, der sich Vermutungen zufolge in Russland befindet. Die Malware wurde in Foren für 1.800 – 2.300 US Dollar verkauft. Rescator, ein weiterer Akteur in diesen Foren, verkauft höchstwahrscheinlich Daten von Target Kunden. In Texas gab es Berichte über Verhaftungen von zwei Individuen, die mit gefälschten Kreditkarten erwischt wurden – inklusive solcher, die bei dem Target Angriff gestohlen worden sein könnten.
Über FireEye, Inc.
FireEye® ist Pionier im Bereich Next-Generation Threat Protection und bietet Unternehmen lückenlosen Schutz vor Cyberangriffen. Das innovative Sicherheitsmodell von FireEye ergänzt herkömmliche Sicherheitslösungen, um neuartige Cyberangriffe wirkungsvoller zu bekämpfen. Die einzigartige FireEye-Plattform kann Cyberangriffe dank Next-Generation Threat Protection dynamisch identifizieren und in Echtzeit abwehren. Das Herzstück der FireEye Plattform ist die signaturunabhängige Virtual Execution Engine und das Cloud Threat Intelligence Network. Die FireEye Plattform kommt bei über 1.000 Kunden und Partnern in mehr als 40 Ländern zum Einsatz. Darunter sind 25 Prozent der Fortune-100-Unternehmen.
Zum Portfolio von FireEye gehören das Web Malware Protection System, Email Malware Protection System (MPS), File Malware Protection System und Malware Analysis System. Das Central Management System bildet die Schaltzentrale der gesamten MPS-Umgebung und umfasst die Berichterstellung, Konfiguration und Weitergabe von Bedrohungsdaten. Jedes dieser Systeme kann direkt oder über ein CMS Verbindung mit der Dynamic Threat Intelligence Cloud aufnehmen, die globale Bedrohungsdaten zur Abwehr neuer Zero-Day-Angriffe bereitstellt. Das FireEye Malware Protection System ist die einzige Komplettlösung, die Web- oder E-Mail-gestützte Advanced Targeted Attacks sowie dateibasierte Malware abwehren kann. Die Lösungen von FireEye ergänzen herkömmliche und Next-Generation-Firewalls sowie Intrusion-Prevention-Systeme, Antiviruslösungen und Gateways, die gegen Advanced Malware machtlos sind.
