Trustwave Spider Labs: Analyse des Magnitude / PopAds Exploit Kits
Zu den Aufgaben der Trustwave SpiderLabs gehört die Beobachtung des Internets hinsichtlich gefährlichen Aktivitäten, um diese zu analysieren, zu bekämpfen und schlussendlich in Zusammenarbeit mit anderen IT-Sicherheitsunternehmen und internationalen Behörden aus dem Internet zu verbannen. Um an die Drahtzieher solcher krimineller Aktivitäten zu gelangen, sind oft monatelange, wenn nicht jahrelange akribische Forschungsaktivitäten im Vorfeld notwendig. In einem aktuellen Weblog Beitrag der Trustwave SpiderLabs wird nun ein kleiner Ausschnitt zu dieser Forschungsarbeit gegeben.
Die Trustwave SpiderLabs konnten einen ungewöhnlichen Anstieg der Aktivitäten auf den Servern des derzeit vorherrschenden Exploit Kits Magnitude (oder auch „PopAds“ genannt) beobachten. Im nachfolgenden Beitrag soll ein Einblick in die derzeit aktuelle Administrationsoberfläche und den Fähigkeiten dieses Exploit Kits wie auch eine Analyse der Infektionsstatistiken von Magnitude aus den letzten Wochen gegeben werden.
In diesen Tagen lassen – nach der Verhaftung von Paunch, dem Programmierer des Blackhole Exploit Kits – andere Exploit Kit „Entwickler“ deutlich mehr Vorsicht walten und haben ihre „geschäftlichen Aktivitäten“ wieder verstärkt tiefer in den Untergrund verlagert. Im Gegensatz zu den Exploit Kits „der letzten Generation“ müssen die Käufer der aktuell führenden Exploit Kits deutlich mehr zahlen. Man könnte dies auf eine „zusätzliche Risikogebühr“ zuzüglich der Tatsache, dass die Exploit-Kit Anbieter aus Sicherheitsgründen nicht mehr wie in der Vergangenheit dazu neigen, für ihre neuesten Kreationen in den Untergrundforen zu werben, zurückführen. Wenn heute jemand ein solches Exploit Kit oder dessen Dienste mieten möchte, dann muss sie/er jemanden kennen, der jemanden kennt, der wieder jemanden kennt (etc., etc.), der die Verbindung zwischen dem „Käufer“ und dem aktuellen „Verkäufer“ herstellen kann. Es basiert mittlerweile alles nur noch auf „Vertrauen“ in diesen Untergrundforen.
Das Magnitude Exploit Kit gehört derzeit zu den am weitesten verbreiteten Exploit-Kits mit einem „Exploit-Kit“ Marktanteil von 31 Prozent, wie es auch im aktuellen Trustwave Global Security 2014 Report (https://gsr.trustwave.com/) nachzulesen ist. Magnitude ist auch berüchtigt und bekannt für erfolgreiche Infektionen von äußerst renommierten Webseiten wie das Yahoo Ad Netzwerk oder die „php.net“ Webseite, die Beide erfolgreich angegriffen und deren Besucher auf Instanzen des Exploit Kits umgeleitet wurden. Viele IT-Sicherheitsforscher haben deshalb bereits sehr lesenswerte Berichte (z.B. http://www.kahusecurity.com/2013/deobfuscating-magnitude-exploit-kit/) über Magnitude verfasst. Dieses Exploit Kit ist aber derart komplex und trickreich, dass es äußerst schwer ist, mehr Informationen über das Innenleben dieses Exploit Kits zu finden. Dennoch haben wir es versucht und sind zum Teil fündig geworden.
Die Administrations-Oberfläche des Magnitude Exploit Kits
Hier ein Screenshot der Administrations-Oberfläche des Magnitude Exploit Kits:
Der überwiegende Anteil der Administrations-Oberfläche des Magnitude Exploit Kits ist in Russisch verfasst. Die Trustwave SpiderLabs haben deshalb die wichtigsten Punkte in Englische übersetzt. Die Administrationsoberfläche ist designtechnisch äußerst minimalistisch gehalten – enthält aber alle wesentlichen Informationen und Statistiken, die ein Manager einer „Kampagne“ so wissen muss: Infektionsraten, Erkennungsraten der Exploits von AntiVirus-Lösungen, Blacklisting der infizierten Domains etc..
Aufgrund seines technischen Aufbaus kann Magnitude nicht wie andere Exploit Kits wöchentlich oder monatlich gemietet werden. Stattdessen kann jeder potentielle Kunde den gewünschten Datenverkehr auf das Exploit Kit umleiten und die äußerst robuste Infrastruktur des Exploit Kits bestehend aus neuen und unbekannten rotierenden Domains, Exploits die die meisten führenden AntiVirus Lösungen umgehen können, statistischen Auswertungen etc., nutzen. Im Gegenzug verlangen die „Betreiber“ dieser Exploit Kit Umgebung Zugang auf die infizierten Systeme von 5-20 Prozent der Opfer, um dann auf diesen Systemen eine eigene Malware ihrer Wahl aufzuspielen. Kunden, die eine große Menge an Datenverkehr generieren, müssen einen geringeren Prozentsatz ihrer Opfer abgeben. Man könnte dies einen „Mengenrabatt“ nennen…
Dieses „Preismodell“ hört sich auf den ersten Blick nicht sehr rentabel für die „Betreiber“ von Magnitude an – ist es aber leider in der Wirklichkeit. So haben zum Beispiel die „Betreiber“ von Magnitude im Laufe von ein paar Wochen die bekannte Ransomware „Cryptowall Defense“ auf den Computern der Opfer verteilt. Diese Malware verschlüsselt Dateien auf den Rechnern der Opfer und fordert von den Opfern zur Entschlüsselung der Dateien eine bestimmten Preis – in der Regel 500,- US$. Die Opfer mussten diese Erpressungsgebühr in Bitcoins in die virtuelle Brieftasche der Erpresser zahlen, deren Adresse praktischerweise gleich von der Malware genannt wurde. Die Trustwave SpiderLabs konnten herausfinden, dass binnen einer einzigen Woche (!) Bitcoins im Wert von 60.000,– US$ in der Brieftasche der Cyberkriminellen hinterlegt wurden. Entsprechend ist dieses Modell für die „Betreiber“ von Magnitude deutlich profitabler als die traditionelle Verleih-Methode. Zusätzlich vereinfacht diese Vorgehensweise es den „Betreibern“ von Magnitude neue Kunden zu gewinnen, da diese kein Geld im Voraus bezahlen müssen um das „System“ zu nutzen, sondern stattdessen nur als „Spende“ Teile ihres Datenverkehrs abgeben müssen.
Die Administrationsoberfläche im Detail
Lassen Sie uns nun einen genaueren Blick auf jeden Bereich der Administrationsoberfläche werfen. Die Infektions-Statistiken der letzten Tage lassen sich in einer erweiterten Ansicht in der oberen linken Ecke abrufen:
Welche Schlüsse lassen sich aus dieser Statistik ziehen?
- Der „Manager“ dieser gefährlichen Kampagne hat allein am 12. Mai 2014 19.833 Opfer an die Instanzen von Magnitude weitergeleitet. Ungefähr 12.710 dieser Opfer waren „neue“ Opfer (einmalig)
- Von diesen 12.710 „unique“ Opfern wurde die kolossale Anzahl von 5.174 Hosts von Magnitude infiziert. Das sind 40,7 Prozent aller Computer der Opfer eines einzigen Tages.
- 642 der Opfer wurden aufgrund von IP Geo-Lokalisierungs-Beschränkungen geblockt (hierzu später mehr)
- Der erfolgreichste Exploit dieses Tages war der Internet Explorer VML Exploit (CVE-2013-2551). Dies dürfte auf der Tatsache beruhen, dass die meisten der Opfer, die auf die Magnitude Kampagne umgeleitet wurden, eine ältere oder nicht komplett gepatchte Version des Internet Explorers einsetzten.
Die Magnitude Administrationsoberfläche ermöglicht es auch dem „Kampagnen-Manager“, weitere ausführbare Dateien als Payload für eine Infektion auf das Magnitude System zu laden oder alternativ eine URL zu einer neuen ausführbaren Datei für eine Infektion anzugeben. Solche Änderungen der ausführbaren Dateien werden von dem Exploit Kit alle paar Stunden neu einbezogen.
Lassen Sie uns einmal einen Blick auf das Übersichtspanel der täglichen Updates werfen. Die Übersetzungen zu jedem Bereich finden Sie im Anschluss an die Abbildung:
Die Magnitude Administrationsoberfläche informiert die „Kunden“ über alle Neuerungen im Zusammenhang mit dem Exploit Kit. Da die meisten Leser dieses Beitrages nicht der Russischen Sprache mächtig sein dürften – hier die Übersetzung mit entsprechenden ergänzenden Kommentaren:
1.) 11. Mai 2014: Aus Sicherheitsgründen wurde entschieden, die Statistiken jeden Montag und Donnerstag um 00:00 Uhr zurückzusetzen
„Sicherheit“ hat in diesem cyberkriminellen Zusammenhang genau die gegensätzliche Bedeutung: Die Cyberkriminellen sind besorgt über ihre eigene Info-Security Community und das industrielle Blacklisting von Magnitude Domänen, Payloads etc..
2.) 10. Januar 2014: Die statistischen Daten wurden zurückgesetzt und der Verteilungsmechanismus verbessert. Die Exploit-Rate sollte erwartungsgemäß ansteigen
Dies bedeutet, dass die Betreiber die „Stabilität“ der Exploits verbessert haben. Es ist keine einfache Aufgabe zu gewährleisten, dass die Exploits erfolgreich bei den ganzen unterschiedlichen, im weltweiten Einsatz befindlichen Systemen (unterschiedliche Browser, Plug Ins, Betriebssysteme etc.) funktionieren.
3.) 06. Dezember 2013: Wir haben die Funktionalität um einen automatischen Refresh der ausführbaren Datei ergänzt, damit unser technischer Support hierfür nicht jedes Mal kontaktiert werden muss
Dieser Punkt zeigt deutlich, dass der „Service“ sich durch eine Automatisierung weiterentwickelt hat – analog zu traditionellen, legalen Softwarelösungen.
4.) 22. November 2013: Deutlicher Anstieg der Infektionsraten um 30 Prozent aufgrund einer grundsätzlichen Änderung der Art und Weise wie die Payloads verteilt werden, einer schnelleren Bearbeitung und Aussendung des Datenverkehrs
Selbsterklärend – ohne weiteren Kommentar
5.) 10. Oktober 2013: Wir akzeptieren nicht mehr länger einen Datenverkehr aus den folgenden Ländern (ehemalige UDSSR Staaten, kleinere Staaten aus Asien, dem Mittleren Osten, Afrika und Südamerika):
A1 A2 O1 SU RU UA BY UZ KZ GE AZ LT MD LV KG TJ AM TM JP JA CN TH VN ID MY TZ PH RO SG TT YE LK PK SA BG UY RS OM IQ KW DO SV TN KE EU NP BD MN SK CR JO LU BB MU NI AP BS MQ NG CY BO AO PY MK GU BH SI NA LB BA BN GD LA BZ PG ZM SY LY SD HT MO PS UG GF RE AF SN LR NC KH GP BW HN AW PF CW VI IS KN AG BM GY DM MT BT MZ EE GL CI MG MV MC GA CD LI GQ ZW CM SR JE DJ CV SZ ME FJ LC KY GH SB VU ET RW MW ER LS EG AE TW ZA
Dies belegt eine gängige Praxis unter den Malware-Versendern. Es hat verschiedene Gründe, warum dieses geographische Blacklisting durchgeführt wird:
- Die meisten der Staaten auf dieser Liste haben Auslieferungsabkommen mit Russland. Dies bedeutet für die „Betreiber“ und Kunden des Magnitude Exploit Kits (die vermutlich aus dem Russischen Raum stammen) eine Bedrohung.
- Einige der Staaten haben ganz einfach einen zu niedrigen ROI (Return-on-Investment) für die Malware-Betreiber. Normalerweise handelt es sich dabei um technisch unterentwickelte oder Entwicklungsländer.
- Um eine Erkennung der genutzten Exploits durch IT-Sicherheitslösungen und ein Blacklisting der Domänen zu vermeiden, werden die Exploits nicht angewendet, bis die definierten Kriterien zutreffen (z.B. Geo-Lokalisierung, Betriebssysteme, Browser etc.)
6.) FAQ:
6.1.) Der Link „Update URL FROM“ ist fünf Minuten nach einem Update gültig
Eine gängige Praxis um einer Erkennung durch IT-Sicherheitslösungen, die gefährliche URL auf eine „schwarze“ Liste (blacklisting) setzen, zu entgehen, ist die permanente Änderung der Domäne. Die obengenannte „Link“ ist eine API zum Erhalt der URL für die Landing Page des Magnitude Exploit Kits. Die Kunden erwarten so eine Automatisierung des Erhalts der neuen URL, damit sie ihre Datenverkehrs-Umleitungsschemen aktualisieren können.
6.2.) Automatische Überprüfung der Dateien und Domänen alle 30 Minuten – beginnend um 00:00 Uhr
„Überprüfung“ meint in diesem Zusammenhang eine interne Überprüfung der Malware mit verschiedensten AntiVirus/IT-Sicherheitslösungen um zu gewährleisten, dass die Malware, die über Magnitude verteilt wird, unentdeckt bleibt.
6.3.) Die Statistiken werden um 00.00 Uhr Moskauer Zeit zurückgesetzt
6.3.) Ein Klick auf die Domäne auf der rechten Seite zeigt eine detaillierte Liste der einmaligen Treffer, der Betriebssysteme, der Referrals etc. an
6.3.) Accounts, die mehr als 2 Tage inaktiv sind, werden entfernt 🙂
6.4.) Um die API einsetzten zu können, die die richtige URL der Landing Page übermittelt, muss an das Support-Team zuerst die wirkliche IP-Adresse für eine Automatisierung zugesandt werden.
Die „bösen Jungs“ schränken den Zugriff auf ihre API in derselben Weise ein, wie es auch seriöse Cloud Service Provider praktizieren.
6.5.) Unser Exploit Kit wird nur Schwachstellen des Internet Explorers ausnutzen – alle anderen Browser werden automatisch herausgefiltert. Wenn Sie den Wunsch haben, dass auch andere Browser angegriffen werden sollen, dann sprechen Sie mit unserem Support
7.) Werbung von Partnern (“Реклама от партнеров”)
Magnitude wirbt mit der Podmena2014 (auch „Simda“ genannt) Zugehörigkeit. Sie können hier (http://malware.dontneedcoffee.com/2013/11/inside-the-simda-affiliate-podmena.html) mehr über diese Thematik lesen. Weiterhin konnten die Trustwave SpiderLabs auch eine Verbindung zu „Cashalot“ feststellen – einem Affiliation Netzwerk das darauf abzielt, Opfer mit Malware zu infizieren, die auf Werbeanzeigen klicken und diese Werbeanzeigen „on the fly“ austauschen können. Diese Malware führt zu zusätzlichen Umsätzen sowohl in Werbenetzwerken wie auch bei SEO Schemen. Darüber hinaus verfügt diese Malware sogar über eine Währungsanpassungsfunktion.
Der nächste Bereich der Administrationsoberfläche verfügt über detaillierte Statistiken:
- Anzeige der direkten Links: Ein Klick auf den Button zeigt eine Detailansicht zu jedem Opfer (einschließlich Infektionsdatum, IP-Adresse, Land, Referrer, User-Agent etc..)
- FAQs für die Bereitstellung von gefälschten Webseiten zum Datenaustausch: Diese „Hilfesektion“ zeigt den Kunden von Magnitude, die den Datenverkehr aus verschiedenen Datenverkehrs-Austausch-Netzwerken in Magnitude nutzen wollen, eine kreative Lösung ihres Problems auf. Cyberkriminelle sind mit einem „Problem“ konfrontiert, wenn sie Datenverkehr aus Traffic Exchange Netzwerken kaufen. Wenn ein solcher Account bei so einem Traffic Broker aufgesetzt wird, dann will sich der Administrator dieses „Dienstes“ auch vergewissern, dass der Empfangspunkt oder die Empfangsstelle dieses gekauften Datenverkehrs nicht „gefährlich“ oder für sie/ihn „bedrohlich“ bzw. „geschäftsschädigend“ ist. Magnitude bietet für diese Fälle eine Schnittstelle, um eine „falsche Empfangsseite“ für die Kunden zu erstellen. Auf dieses Art und Weise kann der Kunde einfach diese Option aktivieren und von nun an wird der gekaufte Datenverkehr, der von einer bösartigen Domäne geliefert wird, stattdessen über eine legitimierte Webseite repliziert – und somit die Identität der bösartigen Webseite mit dem Inhalt einer legitimierten Webseite effektiv getarnt. Wenn der Administrator des (Traffic Exchange Netzwerk) Dienstes einmal die Legitimität der „falschen Webseite“ bestätigt hat, dann kann der Kunde von Magnitude diese Funktion wieder deaktivieren und ab diesem Zeitpunkt wird die Kunden-Zielseite von Magnitude wieder seine Haupt-Domäne sein. Ein einfacher, aber äußerst effektiver Trick.
- Redirects: Dies ist der Status der aktuellen URL (Zensiert), die die Magnitude Landing Page darstellt. Ein Klick auf die URL öffnet den aktuellen AntiVirus- und Blacklisting Status, der von check4you präsentiert wird – einem dubiosen, anonymen, verschiedene Malware-Erkennungs- und URL-Scanner Lösungen vergleichenden Dienst, der sehr gerne von Cyberkriminellen in Anspruch genommen wird. Man könnte diesen Dienst als Untergrund-Alternative zu VirusTotal ansehen (weitere Informationen zu diesem Thema finden Sie hier: http://www.xylibox.com/2011/10/scan4younet-private-av-checker.html)
Sind Sie bereits infiziert?
Schauen wir uns einmal die Zahlen und generellen Statistiken von Magnitude an:
- Diese Magnitude Instanz verwendet nur drei verschiedene Exploits:
- CVE-2013-2551 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2551 (VML) für den IE 6 – 10, der für die Infektion von 85% aller Opfer verantwortlich ist
- CVE-2013-2463 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2463 (Java Raster) für Java <= 7.21 und <=6.45, der den JNLP „click-to-play“ Bypass enthält und für die Infektion von 9% aller Opfer verantwortlich ist
- CVE-2012-0507 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0507 (Java Atomic) für Java <= 7.2 und <=6.30, der für die Infektion von 6% aller Opfer verantwortlich ist
- Jede erfolgreiche Magnitude Infektion „belohnt“ das Opfer mit der Installation von bis zu sieben weiteren Malware-Exemplaren. Das Grundprinzip ist einfach: Die „Betreiber“ des Magnitude Exploit Kit Netzwerkes versuchen die Infektionsrate für jeden Kunden zu erhöhen und infizieren die Maschinen der Opfer mit der jeweiligen Malware des Kunden.
- Im Laufe eines Monats hat das Magnitude Exploit Kit versucht über 1,1 Millionen unterschiedliche Maschinen anzugreifen. Dabei konnten 210.000 unterschiedliche Maschinen infiziert werden, was einer sehr anständigen Infektionsrate von 20 Prozent entspricht. Wie bereits zuvor erwähnt werden bei einer erfolgreichen Infektion bis zu sieben verschiedene Malware-Varianten auf dem Rechner eines Opfers installiert, was eine enorme Verbreitung von Malware bedeutet.
- Die infizierten Maschinen gehörten sowohl Privatpersonen wie auch Unternehmen. Einige hundert Maschinen, die Magnitude zu infizieren versuchte, stammten aus Regierungsbehörden von den USA, Kanada, Großbritannien und anderen Ländern. Ebenfalls waren in der Liste verschiedene Computer von Universitäten aus Australien, Hong Kong, den USA und anderen Ländern zu finden.
- Bezüglich der beabsichtigten Infektionen führen die USA, Frankreich, der Iran und Großbritannien die Liste der Länder an. Nachfolgend eine Tabelle mit den Angriffsversuchen nach Ländern:
Anmerkung: Ländern mit unter 5.000 Angriffen wurden in dieser Grafik nicht aufgeführt.
Im Gegensatz hierzu eine Grafik nach Ländern, die die erfolgreichen Infektionen wiedergibt (die komplette Liste kann hier (http://pastebin.com/3Req2RbW) abgerufen werden):
Anmerkung: Länder mit einer Infektionsrate unter 500 Maschinen wurden in der Grafik nicht aufgeführt
Obwohl die Gesamtanzahl der infizierten Maschinen in den USA am höchsten ist, so ist dennoch die Infektionsrate in den USA (wie auch in Frankreich und anderen Europäischen Ländern) deutlich geringer als in anderen Ländern wie bspw. dem Iran, Vietnam und Indien. Dies zeigt vielleicht auch deutlich die Unterschiede hinsichtlich des generellen IT-Sicherheitsbewusstsein und des Einsatzes von IT-Sicherheitslösungen zwischen den Ländern.
Welche Malware wird verbreitet?
Zu den bedeutendsten Punkten bei der Planung von solchen kriminellen Kampagnen ist die Auswahl der Malware, die auf den Rechnern der Opfer verteilt werden soll. Die Trustwave SpiderLabs haben die von den Magnitude Kunden verwendeten Malware-Varianten einmal genauer betrachtet:
- Insgesamt wurden 211 unterschiedliche Malware-Varianten von Magnitude während wenigen Wochen verteilt. Bei jeder erfolgreichen Infektion wurden 5-6 Malware-Varianten auf den Rechner eines Opfers gespielt. Einige der Varianten stammten aus derselben Malware-Familie.
- Nur 85 Prozent der entdeckten Varianten wurden auch an VirusTotal während des Zeitpunktes der Erstellung dieses Berichtes übermittelt.
- Ein Hash-Wert Liste der gefundenen Malware-Varianten (MD5) kann hier eingesehen werden: http://pastebin.com/gEHiUtL8
Nachfolgend eine Zusammenstellung der Malware-Varianten, die in der letzten Magnitude Kampagne am Häufigsten eingesetzt wurden:
- Alureon – gehört zur Familie der Informationen stehlenden Malware-Arten. Dieser Trojaner ermöglicht es einem Angreifer, den ein- und ausgehenden Internetdatenverkehr abzufangen, um geheime Informationen aus dem Computer eines Opfers wie Benutzernamen, Passwörter oder Kreditkartendaten zu stehlen.
- CryptoWall – eine Erpressungs-Malware (Ransomware), die Dateien mit einem RSA-2048 Algorithmus verschlüsselt. Das Opfer muss dem Angreifer dann mittels BitCoins einen Betrag zahlen, damit sie/er die Dateien wieder entschlüsseln kann.
- Necurs – ein Backdoor. Necurs ist ein Trojaner, der eine Hintertür auf einer kompromittierten Maschine öffnet. Der Trojaner ist zudem in der Lage, AntiVirus Lösungen zu deaktivieren wie auch zusätzliche Malware herunterzuladen und zu installieren.
- Nymain – hauptsächlich eine Backdoor. Die Malware injiziert sich in laufende Prozesse und verbindet sich mit einem Remote Server, um weitere Befehle zu erhalten
- Simda – eine Backdoor. Injiziert sich in gängige, laufende Prozesse. Versucht IT-Sicherheits- / Reverse-Engineering / Analysesoftware zu deaktivieren. Klinkt sich in gängige Windows API Aufrufe ein. Greift auf einen Remote C&C Server zu.
- Tepfer – ein Informations-Dieb. Stiehlt Benutzernamen und Passwörter von gängigen Applikationen auf dem Rechner eines Opfers.
- Vawtrak – gehört ebenfalls zur Backdoor-Familie. Injiziert sich in die ausführbare Datei eines Browser wie bspw. die „explorer.exe“. Ermöglicht die Kontrolle des Browsers durch einen Remote-Angreifer und stiehlt die Zugänge zu populären Bank-Webseiten.
Trustwave hat vor der Veröffentlichung dieses Berichtes die Details der Forschungsergebnisse mit den weltweiten Strafverfolgungsbehörden bereits ausgetauscht.
Kunden von Trustwave Secure Web Gateway (SWG) sind vor der Bedrohung durch Magnitude und anderen Exploit Kits ohne zusätzliche Updates bereits geschützt.
Quelle: Trustwave SpiderLabs Weblog
Über Trustwave
Trustwave hilft Unternehmen, sich vor den Cyberbedrohungen zu schützen, die eigenen Daten abzusichern und die Sicherheitsrisiken zu minimieren. Mit den eigenen Cloud- und Managed Security Services, den integrierten Technologien und einem globalen Team von IT-Sicherheitsexperten, ethischen Hackern und Forschern ermöglicht Trustwave Unternehmen, Organisationen und Behörden ihre Informationssicherheit und Compliance-Programme vor allem auch im Zuge geschäftlicher IT-Herausforderungen wie Big Data, BYOD und Social Media zu gewährleisten. Über zwei Millionen Geschäftskunden haben sich bereits der Trustwave TrustKeeper® Cloud Plattform angeschlossen, über die Trustwave automatisiert, effizient und kosteneffektiv den richtigen Datenschutz, ein umfassendes Risikomanagement und einen intelligenten Schutz vor Bedrohungen bereitstellt. Trustwave ist ein im Privatbesitz befindliches Unternehmen mit Hauptsitz in Chicago (USA). Das Unternehmen verfügt über Kunden in 96 Ländern auf der ganzen Welt. Weitere Informationen zu Trustwave finden Sie unter www.trustwave.com