Exploit-Kit Angler macht Millionen mit Erpressungs-Trojanern
Cisco hat das Exploit Kit Angler in freier Wildbahn studiert und einen Gutteil der Hosts offline nehmen lassen. Wie sich zeigt, haben die Täter ein professionelles System hochgezogen und scheffeln damit richtig Geld.
Talos, eine Abteilung von Cisco, konnte das Angler Exploit Kit im Juli bei der Arbeit beobachten. Anschließend wurden zahlreiche Angler-Server offline genommen. Das dürfte die Einnahmen der Mafiabande um einige Millionen reduzieren, denn Angler ist erschreckend profitabel. Damit Webhoster Angler-Server in ihrem Rechenzentren aufspüren können, hat Talos passende Snort-Regeln veröffentlicht.
Auf einer Presseveranstaltung in der Cisco-Zentrale in Kalifornien gab der Konzern weitere Informationen zu Angler preis. Fast 75 Prozent des Angler-Traffics hatten demnach im Juli ihren Ursprung bei zwei Webhostern: Limestone Networks und Hetzner. Die kriminellen Hacker buchen die Server in der Regel mit gestohlenen Kreditkartendaten, so dass der Webhoster am Ende gar keinen Umsatz macht.
Kooperativer Hoster
Beim texanischen Cloud-Hoster Limestone Networks, der mit Talos zusammenarbeitete, fanden die Security-Forscher rund 150 Angler-Server. Die meisten davon waren Proxys, die einen einfachen, unverdächtigen nginx-Webserver laufen hatten. Sie hielten keine Malware vor und zeigten bei normalen HTTP-Aufrufen eine Platzhalter-Seite. Damit blieben sie unverdächtig.
Nur wenn beim Aufruf spezielle Referral-Parameter mitgeliefert wurden, kam manchmal Bewegung in die Sache. Denn dann holte sich der Proxy-Server eventuell von einem Zentralserver Malware und versuchte, damit den Browser zu attackieren. So bleibt der eigentliche Malware-Lieferant unauffällig: Er hat relativ geringen Traffic und tritt mit keinem Opfer direkt in Kontakt.
Der Zentralserver informiert außerdem einen dritten Server, der sich dann vom Proxy-Server statistische Daten abholt. So wird verifiziert, dass der Proxy unbeeinträchtigt arbeitet. Die Logfiles werden schließlich an einen vierten Server geschickt. Angler ist also ein hoch entwickeltes, arbeitsteiliges System und funktioniert ähnlich wie das Exploit-Kit, das c't kürzlich en Detail analysiert und vorgestellt hat: Einbrecher zu vermieten - Ein Blick ins Innenleben des RIG-Exploit-Kits
Rasante Eintagsfliegen
Die Proxys haben eine kurze Lebensdauer von durchschnittlich einem Tag. Einer den Talos konkret untersuchte, war 13 Stunden online. Dabei wurde er von etwa 90.000 IP-Adressen kontaktiert, 60.000 davon in einer einzigen Stunde. An rund ein Zehntel, also zirka 9.000, wurden tatsächlich Exploits ausgeliefert. Bei früheren Untersuchungen hatte Talos festgestellt, das 40 Prozent der ausgelieferten Exploits Erfolg haben. Das ergäbe in den 13 Stunden also ungefähr infizierte 3.600 Opfer.
Im Juli nutzte Angler ausschließlich Schwachstellen in Adobe Flash, Internet Explorer und, zu einem geringen Grad, Microsoft Silverlight aus. Java wurde interessanter Weise nicht angegriffen. Während sich in den Logdaten sogar der historische Browser Netscape 4.0 fand, hatte es Angler vor allem auf Internet Explorer 11 unter Windows 7 sowie Windows 8.1 abgesehen.
Bei 62 Prozent der erfolgreichen Exploits wird Ransomware installiert, also Erpressungs-Trojaner, die Dateien auf dem Zielsystem verschlüsseln. Wer seine Daten zurück haben möchte, muss zahlen, in der Regel über Krypto-Währungen. Laut Symantec zahlen knapp 3 Prozent der Ransomware-Opfer tatsächlich und sind dann im Schnitt 300 US-Dollar ärmer. Bei den in den 13 Stunden geschätzten 3.600 Opfern, hochgerechnet auf die 147 Proxys bei Limestone, ergäbe das mehr als 31.000 US-Dollar (rund 28.000 Euro) an einem einzigen Tag. Talos hat einen Bericht mit interaktivem Schätzungsmodell online gestellt.
Das Millionen-Geschäft
Alleine die Ransomware dürfte der Angler-Bande also jährlich einen hohen zweistelligen Millionenbetrag einbringen, schätzen die Experten von Talos. "Das sind Profis, keine Frage", kommentierte Jason Brevnik von Ciscos Security Business Group, "Ich stelle mir vor, dass sie in einem Office Business Park arbeiten und Happy Hours haben."
Zu weiterer Schadsoftware, die der Angler-Kit ausliefert, gehören Downloader für weitere Malware, Programme für Click-Betrug, Keylogger, Trojaner und dergleichen mehr. Wahrscheinlich besorgen sich die Kriminellen auf diesem Weg auch Kreditkartendaten ihrer Opfer. Bei Hetzner und Limestone Networks fand Talos aber ausschließlich Hinweise auf Ransomware. Für die übrigen Straftaten wurden kleinere Servergruppen bei anderen Hostern eingesetzt.
Massenseiten und Todesanzeigen
Doch wie kommen die Opfer überhaupt in Kontakt mit den Angler-Servern? Meistens arbeiten die Täter mit iFrames oder Werbeschaltungen. Talos fand die bösartige Werbung auf großen Nachrichten-, Immobilien- und Popkultur-Webseiten.
Außerdem wird eine Vielzahl kleiner Webseiten als Umleitungsquelle missbraucht. Darunter sind sogar einzelne Todesanzeigen, die keineswegs Prominente sondern irgendwelche "Normalpersonen" betreffen. Das lässt die Vermutung zu, dass sich die Kriminellen bei älteren Nutzern mehr Erfolg versprechen.
Insgesamt beobachtete Talos im Juli mehr als 15.000 Seiten, die User zu einem Angler-Proxy umleiteten. 99,8 Prozent wurden weniger als zehn Mal verwendet. Das macht es praktisch unmöglich, die kompromittierten Seiten zu finden und zu säubern. User müssen ihre Systeme schon selbst laufend updaten.
Hinweis: Cisco hat die Reisekosten des Autors zur Cisco Global Editors Conference übernommen. (ds)
