„Zum Supersportwagen reicht es nicht, aber man kommt auf den Geschmack!”

Malware
SophosLabs Intelix

Die Cyberkriminellenszene wandelt sich stetig. Nicht nur die Angriffsmethoden werden cleverer, auch die Cyberkriminellen selbst verändern sich. Zwei europäische Sophos Sicherheitsexperten und zwei ihrer nordamerikanischen Kollegen beleuchten verschiedene Aspekte der modernen Cyberkriminalität. Michael Veit, Security Evangelist aus Deutschland, Gabor Szappanos, Principal Malware Researcher der SophosLabs in Ungarn, Andrew Brandt, Principal Researcher der SophosLabs, USA, sowie Chester Wisniewski, Principal Research Scientist bei Sophos Kanada, haben gemeinsam einen Blick auf die Szene geworfen.

Ihre wichtigsten Überzeugungen: Der Trend in der Cykerkriminalität geht zu Zusammenarbeit und Spezialisierung. Es gaunert sich dabei zunehmend professionell, es ist ein lukratives Geschäft und es ist (immer noch) einfach. Es gibt gut betuchte, gut ausgebildete Cyberkriminelle auf der einen, Hacker mit einfachen Schadwarebausätzen aus dem Darknet auf der anderen Seite. Die Branche setzt dabei stark auf Service – was man selbst nicht schafft, kauft man dazu. Dazu gehört auch das Fachwissen um menschliche Schwächen: Die Manipulation von Menschen ist den vier Experten zufolge eine ausgeprägte Angriffsstrategie der Cyberkriminalität. Auch zu deren Ursachen sind sich die IT-Security-Experten einig. In ihren Augen haben neben dem finanziellen Anreiz auch Armut und mangelnde Strafverfolgung einen bedeutenden Anteil am florierenden, illegalen Geschäft mit den Daten.

„Nicht genug, um einen Supersportwagen zu kaufen, aber genug, um auf den Geschmack zu kommen.“

„Die Cyberkriminalität ist in den letzten 20 Jahren erheblich gewachsen, hauptsächlich aufgrund der Verfügbarkeit von einfach zu verwendenden Hacker-Tools und wegen unglaublich unsicherer Ziele,“ sagt Chester Wisniewski. Als die Hersteller von IT Security Software dann anfingen, verwundbare Browser-Plugins zu entfernen und weitere Patches zu automatisieren, begann der Trend, dass einige der unerfahreneren Hacker aus dem Markt gedrängt wurden.“ Heute, so Michael Veit, „arbeitet die Szene vernetzter und gibt es unterschiedliche Ebenen von Hacker-Expertise und Spezialisten für unterschiedliche Szenarien. Niemand, der sich cyberkriminell betätigen möchte, ist mehr auf sich allein gestellt.“ Dies ist aus Sicht von Andrew Brandt, Sophos Labs USA, auch ein wichtiger Grund dafür, dass es in naher Zukunft so viele weitere Kriminelle geben wird: „Es ist sehr einfach, jetzt loszulegen und ein bisschen Geld zu verdienen – nicht genug, um einen Supersportwagen zu kaufen, aber definitiv genug, um auf den Geschmack zu kommen.“

„Wohlhabende, gut ausgebildete Cyberkriminelle und eine große Menge Fußsoldaten“

„Die große Mehrheit der Internetkriminellen ist dabei opportunistisch.“, sagt Gabor Szappanos, SophosLabs Ungarn. „Sie verwendet handelsübliche Werkzeuge und Bausätze aus dem Darknet und ihre Angriffe sind entsprechend raffiniert. Es gibt aber auch High-End-Gruppen, die eigene Angriffswerkzeuge entwickeln.“ Andrew Brandt geht davon aus, „dass diese Trennung von Spreu und Weizen sich in Zukunft noch verstärken wird und wir es künftig mit zwei Klassen von Cyberkriminellen  zu tun haben werden (ohne nationalstaatlich gesponserte Spionageteams in diese Einschätzung einzubeziehen): Auf der einen Seite die wohlhabenden, gut ausgebildeten Cybercriminals, die Cyber-Werkzeuge und Darknet-Marktplätze bauen und betreiben. Auf der anderen Seite eine riesige Zahl von Fußsoldaten, die technisch auf einem niedrigen Level agieren. Sie führen jene Betrügereien aus, die auf Einzelpersonen abzielen und die einen stetigen Fluss von Bitcoin einbringen.“

„Es gibt spezialisierte Anbieter von Informationen über mögliche Angriffsziele.“

Die Cyberkriminalität agiert dabei inzwischen wie jede andere Wirtschaft mit einem „zunehmenden Maß an Arbeitsteilung“, wie Michael Veit, Sophos Deutschland konstatiert. „Da gibt es Spezialisten für das Finden von technischen Schwachstellen in Betriebssystemen oder Anwendungssoftware und für das Erstellen von Exploits, mit denen diese Schwachstellen zur Verbreitung von Schadsoftware genutzt werden können. Andere Spezialisten kombinieren diese Exploits dann mit Schadensroutinen, z.B. der Verschlüsselung oder dem Diebstahl von Daten und erstellen daraus eine maßgeschneiderte Malware. Wieder andere stellen für die Fernsteuerung der Malware einen Dienst inklusive Serverinfrastruktur bereit. Soll ein Unternehmen erpresst werden, kommen Spezialisten ins Spiel, die Dienste für die anonyme Zahlungsabwicklung per Kryptowährung anbieten. Schließlich gibt es spezialisierte Anbieter von Informationen über mögliche Angriffsziele, die Informationen über Unternehmen und deren hochrangige Ansprechpartner inklusive Daten wie Email-Adressen, Social-Media-Accounts und Passwörtern aus Datenlecks verkaufen. Und für die Übersetzung der Phishing-Email zur Auslieferung der Schadsoftware in der Landessprache des Angriffsziels gibt es spezialisierte Übersetzungsbüros.“

„… Menschen so zu manipulieren, dass sie selbst die Tür öffnen.“

„Im Zuge der weiteren Verbesserung unserer allgemeinen Sicherheitslage und der Verwendung von Geräten wie Tablets und Smartphones müssen Kriminelle ihr verbrecherisches Spiel auf Vordermann bringen und sich neben den technischen auch mit den menschlichen Aspekten befassen,“ erklärt Chester Wisniewski. Dies, so der Experte, „um zum Beispiel mit Hilfe von Social Hackern zu verstehen, wie man, statt sich durch technische Wege Zugang zu einem Gerät zu verschaffen, Menschen so manipulieren kann, dass sie selbst die Tür öffnen.“ Bei diesem neuen Verbrechertypus handelt es sich „um Personen oder Gruppen, die kreativ und mit Gespür für menschliche Schwächen Wege finden, Malware in ein Unternehmen einzuschleusen und sich Zugangsdaten zu erschleichen.“, ist Michael Veit überzeugt. „Verbrecher, die herausfinden, welches die Kronjuwelen des Angriffsziels sind, wie sie diese erbeuten und welchen Ton sie anschlagen müssen, um bei einem erfolgreichen Angriff vom Opfer die maximale Geldsumme zu erpressen. Dazu bedienen sie sich der verfügbaren Dienstleistungen für die einzelnen Phasen des Angriffs und mieten bei Bedarf einen Spezialisten hinzu. Während Cyberkriminelle in der Vergangenheit also meist Hacker waren, sind es zukünftig immer öfter Managertypen, die sich der Angebote einer immer arbeitsteiligeren Crimeware-Industrie bedienen.“

„Die oftmals fehlende Strafverfolgung lässt eine Nische entstehen, in der Verbrecher ungestraft operieren könnten.“

„Großer Treiber der Cyberkriminalität ist nicht unbedingt nur der finanzielle Anreiz, sondern auch das kulturelle und politische Umfeld, in dem diese Kriminellen leben und operieren.“, sagt Andrew Brandt. „Die große Armut in vielen Teilen der Welt, die Menschen dazu verleitet, sich mit zur Not eben auch kriminellen Mitteln und über dubiose Mittler eine vermeintliche Chance auf etwas Wohlstand zu sichern, ist ein Teil der Ursache. Die darüber hinaus oftmals fehlende Strafverfolgung lässt eine Nische entstehen, in der Verbrecher ungestraft operieren können. Nur ein gemeinsames Bemühen um Auslieferung und Verurteilung kann dazu beitragen, das Problem in den Griff zu bekommen.“ Gabor Szappanos bestätigt: “Internetkriminalität ist ein profitables Geschäft. Solange dies der Fall ist und die Strafverfolgung keine nennenswerten Erfolge bei der Aufdeckung und Festnahme von Cyberkriminellen erzielt, wird es mit der Entwicklung weiter gehen.“

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.