Trustwave: Exploit-Kit Magnitude wächst durch ungewöhnliches Geschäftsmodell

Trustwave informiert über ein zunehmend beliebtes Exploit-Kit namens Magnitude, dessen Erfolg sich auf sein ungewöhnliches Distributionsmodell zurückführen lässt. Es wird nämlich kostenlos verteilt, während sonst solche Malware-Baukästen eine Zahlung vorab erfordern. Stattdessen reklamieren die Autoren 5 bis 20 Prozent der infizierten Maschinen für sich und infizieren diese mit einer Ransomware.

Seine Erkenntnisse über Magnitude, das zunächst PopArt geheißen hatte, legte Trustwave vergangene Nacht auf der Sicherheitskonferenz Black Hat in Las Vegas dar. Es berichtet, es habe die Verbreitung verfolgt und acht Kommandoserver identifiziert, von denen drei in Großbritannien stünden, vier in den Niederlanden und einer in der Ukraine. Pro Monat gelinge es den Kriminellen, mit Angriffen auf rund 1,1 Millionen IP-Adressen bis zu 210.000 Systeme zu infizieren.

„Wir haben Fälle gesehen, in denen die Leute eine große Zahl Maschinen infiziert haben, und der Teil, den sie abtreten musste, war kleiner als ein Fünftel – vielleicht 5 Prozent. Das scheint eine Art Volumenrabatt zu sein“, erklärt Ziv Mador, Forschungsdirektor bei Trustwave.

Die von den Exploit-Kit-Autoren genutzte Ransomware Cryptowall Defense geht ähnlich vor wie das berühmte Cryptolocker: Sie verschlüsselt die Dateien der Anwender und verlangt für die Herausgabe ein in Bitcoin zu zahlendes Lösegeld. Aus einer Beobachtung dafür genutzter digitaler Geldbörsen schließt Trustwave, dass sie so 60.000 bis 100.000 Dollar je Woche einnehmen.

Aber nicht nur das ungewöhnliche Modell ist ein Grund für den Erfolg von Magnitude, nach der Verhaftung des mutmaßlichen Blackhole-Co-Autors „Paunch“ dürfte es auch eine Lücke gefüllt haben. Der Mann war im Oktober 2013 in Russland festgenommen worden. Gleichzeitig gelang es, den Aktualisierungsdienst für das Exploit-Kit Blackhole zu schließen und seinen Malware-Verschlüsselungsdienst unzugänglich zu machen.

„Ähnlich wie die Welt für legale Geschäfte ist die Cybercrime-Welt spezialisierter geworden“, sagt Mador. „Die Cybergang hinter Magnitude tut, was sie am besten kann, sie betreibt die Server, entwickelt die Exploits und baut die komplette Infrastruktur auf. Die Kunden, offenbar auch Cyberkriminelle – nichts davon ist legal -, müssen nur noch Traffic fürs Exploit-Kit heranschaffen und die Malware ihrer Wahl installieren.“

Die meisten Opfer hat die Malware bisher in den USA und dem Iran gefunden. Sie scheint zugleich in Entwicklungsländern ungewöhnlich effizient zu sein. Beispielsweise berichtet Trustwave, in Vietnam seien 68 Prozent aller Infektionsversuche gelungen. „Die Infektionsrate hängt vom Patchstand und dem Alter der Software ab – alte Browser sind natürlich anfälliger. Aber die Nutzung von Sicherheitsprodukten spielt auch eine Rolle.“

[mit Material von Max Smolaks, TechWeekEurope.co.uk]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de