Exploit-Kit Angler: Cisco legt Hacker-Operation lahm

Die unbekannten Täter verbreiteten unter anderem eine Erpressersoftware. Damit generierten sie wahrscheinlich 30 Millionen Dollar Umsatz pro Jahr. Angler ist laut Cisco das "beunruhigendste und fortschrittlichste Exploit-Kit".

Cisco hat Aktivitäten einer Hackergruppe zum Erliegen gebracht, die den unbekannten Tätern jährlich bis zu 30 Millionen Dollar eingebracht haben sollen – allein durch Erpressersoftware. Sie nutzen demnach das Exploit-Kit Angler, um mithilfe von Schwachstellen im Internet Explorer sowie in den Browser-Plug-ins Flash und Silverlight Malware für Windows zu verbreiten.

In 74 Prozent der Fälle erreicht der Schadcode wenig überraschend über Adobe Flash die Rechner. Mit einem Anteil von 24 Prozent landet der Internet Explorer auf dem zweiten Platz. Nur 2 Prozent der Angriffe entfallen auf Silverlight. Überraschenderweise nutzt das Exploit-Kit Lücken in Java nicht aus. Die Angriffe richteten sich gegen bis zu 90.000 Nutzer täglich.

Talos: Angriffsverteilung des Exploit-Kits Angler (Bild: Talos)Laut Talos nutzt das Exploit-Kit Angler in 74 Prozent der Angriffe Schwachstellen in Adobe Flash. CVE-2014-6332 ist den Forschern zufolge dem Internet Explorer zuzurechnen, der damit Rang 2 belegt. Nur 2 Prozent der Angriffe gehen auf Schwachstellen in Silverlight zurück (Bild: Talos).

Einem Blogeintrag zufolge ist es Ciscos Sicherheitssparte Talos Group gelungen, Sicherheitslücken zu stopfen, die benutzt wurden, um Anwender auf Angler-Proxy-Server umzuleiten. Die meisten davon wurden offenbar vom Service Provider Limestone Networks gehostet. Die Gruppe, gegen die Cisco vorgegangen ist, war allerdings nur für rund 50 Prozent der Angler-Aktivitäten verantwortlich.

„Das ist ein bedeutender Schlag gegen die Hacker-Economy, die mit Ransomware und dem Schwarzmarktverkauf von gestohlenem geistigen Eigentum, Kreditkartendaten und persönlichen Informationen Hunderte Millionen Dollar jährlich generiert“, schreiben die Forscher. Angler wiederum sei das „fortschrittlichste und beunruhigendste Exploit Kit auf dem Markt – entwickelt, um Sicherheitsgeräte zu umgehen und die größtmögliche Zahl von Geräten anzugreifen“.

HIGHLIGHT

Wie Samsung Knox das S6 und S6 Edge mit My Knox sicherer macht

Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.

In Zusammenarbeit Limestone haben die Cisco-Forscher nach eigenen Angaben Datenverkehr der Angler-Proxy-Server ausgewertet und dabei neue Erkenntnisse über Angler gewonnen. „Angler nutzt eine Proxy/Server-Konfiguration. Es gibt einen Exploit-Server, der für die Verbreitung der schädlichen Aktivitäten über mehrere Proxy-Server verantwortlich ist. Der Proxy-Server ist das System, mit dem Nutzer kommunizieren, was es den Tätern erlaubt, sich schnell anzupassen, während sie ihren Exploit-Server vor einer Entdeckung schützen.“

Darüber hinaus überwache ein Health-Server das gesamte System und sammle Informationen über infizierte Host-Computer, so Cisco weiter. Einer dieser Health-Server habe im Juli 147 Proxy-Server kontrolliert und einen Umsatz von mehr als 3 Millionen Dollar generiert. Die Proxy-Server wiederum wurden von 17 unterschiedlichen Providern gehostet, darunter auch der deutsche Anbieter Hetzner. „Auch wenn Hetzner und Limestone Networks die wichtigsten Angler-Quellen waren, Limestone war der größte Provider. Im Juli hostete Limestone mehr als ein Drittel der IP-Adressen, über die Angler verbreitet wurde“, ergänzten die Forscher.

Die Server hätten die Hacker mit gestohlenen Kreditkarten gekauft, heißt es weiter in dem Blogeintrag. Alleine Limestone habe dadurch einen Umsatzverlust von rund 10.000 Dollar pro Monat erlitten.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Neueste Kommentare 

Noch keine Kommentare zu Exploit-Kit Angler: Cisco legt Hacker-Operation lahm

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *