Cloudsec 2016

Von Ransomware, Malware-as-a-Service und Social Engineering

Uhr | Updated

Einen Mitbewerber hacken? Ransomware verschicken? Kreditkartendaten, Reisepässe? Auf der Cloudsec in London gab es einen Einblick in die Machenschaften der Cybercrime-Industrie.

"Wir alle wissen, dass IT-Security ein heisses Thema ist", sagte Raimund Genes zur Eröffnung der Cloudsec 2016. "Deswegen sind wir ja hier." Genes ist Global CTO von Trend Micro, die Cloudsec eine Veranstaltung rund um IT-Sicherheit.

In Sichtweite des Palace of Westminster, Tagungsort des britischen Parlaments, versammelten sich IT-Sicherheitsspezialisten aus aller Welt. Unter der Schirmherrschaft Trend Micros diskutierten sie im Park Plaza Hotel über Sicherheit in der Cloud, über Untergrundmarktplätze, über Social Engineering.

Insbesondere letzteres, das Social Engineering, werde zu wenig beachtet, sagte Jenny Radcliffe in ihrem Referat. Sie unterstützt Unternehmen jeder Grösse als Beraterin für Social Engineering.

Menschen sind leicht manipulierbar

Laut Radcliffe sind es die Menschen, die Mitarbeiter einer Firma, auf die sich die IT-Security konzentrieren sollte. Denn Menschen seien leicht angreifbar, leicht manipulierbar. Es liege in ihrer Natur, einer Geschichte zu folgen, anderen zu helfen, Vertrauen zu schenken.

Ein Social Engineer mache sich menschliche Natur zu Nutze. Ihn interessieren weder Schwachstellen in der Firewall noch ausgeklügelte Malware. Sein Ziel ist es, dass die Menschen ihre Informationen freiwillig herausgeben.

Die IT-Security sollte deshalb Menschen im Visier haben, die etwa sehr viel reden, neu im Unternehmen sind oder glauben, kugelsicher zu sein. Denn diese Menschen seien die Ziele der Social Engineers.

Unternehmer müssen Mitarbeiter sensibilisieren

Radcliffes Rat: Mitarbeiter für die eigene Sache begeistern, sie informieren über die Gefahren, sie einbinden, ihr Vertrauen gewinnen, ihnen eine Geschichte geben, der sie folgen können. Eigentlich sollte man als Unternehmer das Gleiche machen wie die Social Engineers.

Gänzlich verzichten auf Firewall, Anti-Malware, Advanced Threat Protection und Co. sollte man trotzdem nicht. Denn die Methoden der Cyberkriminellen werden nicht nur perfider, sie sind inzwischen praktisch für jedermann zugänglich, wie Robert McArdle in seinem Vortrag sagte.

McArdle leitet Trend Micros "Forward Looking Threat Research Team" in der EMEA-Region. Dieses Team beschäftigt sich mit so genannten Untergrundmärkten. Was McArdle und sein Team dort finden, lässt einem die Haare zu Berge stehen.

Untergrundmärkte sind hochgradig professionalisiert

Am schlimmsten sei es in Russland. "Sie werden nirgends sonst so viele kriminelle Aktivitäten finden wie im russischen Untergrund", sagte McArdle. Kredit- und Bankkarteninformationen, Reisepässe, Waffen, Drogen, Ransomware und Malware-as-a-Service.

Die letzten beiden Punkte dürften für die IT-Branche ein Problem sein. Vor allem wenn man sieht, wie professionell Malware-as-a-Service abläuft. Wer hacken will, muss heute nichts mehr von Hacking verstehen. Die Hacks gibt es im Abo-Modell, keine Vorkenntnisse nötig.

Im russischen Untergrund gibt es laut McArdle Plattformen, die an die Cloud-Marktplätze der Distributoren erinnern. Man zahlt eine monatliche oder jährliche Grundgebühr und kann dann aus verschiedenen Diensten auswählen.

Preise fallen

Einer der ausgefeiltesten Marktplätze in Russland hat ein grafisches Interface mit einer Weltkarte, wie McArdle zeigte. Dort kann man das Land wählen, die Stadt und sogar den Stadtkreis. Dann entscheidet man, welche Daten man beziehen möchte. Kreditkartendaten, Pässe, E-Mail-Accounts? Es ist alles da. Inklusive Qualitätsangaben. "Alles, was Sie mit Cyberkriminalität assoziieren, ist auf diesen Marktplätzen verfügbar", sagte McArdle.

Ebenfalls bedenklich: Die Preise fallen. Nicht weil es zu wenig Nachfrage gibt. Die Konkurrenz ist zu gross. Diese Marktplätze gebe es inzwischen überall auf der Welt. In China sind sie nicht mal im Untergrund. Dort laufen sie im so genanten Clear Web. Im Internet, wie es hierzulande jeder kennt. Man muss sich nicht erst mit einem speziellen Browser wie Tor ins Darknet einklinken. Die Seiten sind frei zugänglich.

Die chinesischen Cybercrime-Märkte sind vor allem auf Mobile Spamming spezialisiert, wie McArdle sagte. Über Plattformen im englischsprachigen Raum könne man hingegen wirklich alles beziehen. Ausser Drogen und Waffen zählen da etwa auch Auftragskiller dazu. Ab 3000 Dollar ist man dabei. Je nach Bekanntheit der Zielperson.

Master in Cybercrime gefällig?

In Lateinamerika gibt es zu alledem noch das passende Know-how. Das Portal "Back Track" bietet laut McArdle Kurse, Unterlagen und sogar Onlineprüfungen für alle möglichen cyberkriminellen Aktivitäten. "Sie können dort einen Master in Cybercrime abschliessen", sagte McArdle.

Nach McArdle konnten sich die Teilnehmer der Cloudsec für drei verschiedene Vortragsreihen entscheiden. Jede Reihe bot eine breite Fülle an Themen und Referenten. Einer davon war Geoff White, Technologiejournalist bei Channel 4 News.

White interessiert sich für die Menschen hinter der Malware. Er versucht, die Psychologie von Cyberkriminellen zu verstehen. Seine Spezialität ist Ransomware. "Ransomware erzählt uns etwas sehr Interessantes über Cyberkriminalität und die Menschen dahinter", sagte White.

Ransomware kann man leicht selbst erstellen

Anders als ein Start-up aus dem Silicon Valley würden Cyberkriminelle in der Regel kein Geld von Investoren bekommen. Sie müssten sehr schnell Profit machen. Ransomware sei womöglich die schnellste Methode, um das zu erreichen. Der Aufwand sei gering. Er habe es selbst ausprobiert, sagte White.

Geoff White hat keine Daten verschlüsselt und anschliessend Lösegeld gefordert. Er kreierte lediglich das Tool, mit dem er eine Ransomware-Kampagne starten könnte. Seine Programmierfähigkeiten seien bescheiden. Das mache aber nichts. Er besorgte sich die Ransomware im Darknet. Genauer einen Generator für Ransomware.

Dieser Generator kommt in einem äusserst nüchternen Design daher, wie White mit einem Screenshot zeigte. Der Generator hat einige Eingabefelder und erklärt, was man in die jeweiligen Felder eintragen soll. Die Anleitungen faszinieren White besonders, denn die würden Aufschluss über die Psychologie der Kriminellen geben.

Psychologie der Cyberkriminellen fasziniert Geoff White

Hinter dem Feld für die Lösegeldsumme, die das Opfer zahlen muss, damit seine Daten entschlüsselt werden, steht in Klammer: Don't be too greedy. Sei nicht zu gierig.

Wer zu viel verlange, riskiere nämlich, dass das Opfer eher einen neuen Rechner kauft, statt das Lösegeld zu zahlen. "Das fasziniert mich", sagte White. Ebenfalls faszinierend: Ein Feld, in das man die Anzahl der kostenfrei entschlüsselten Daten einträgt. Ob man da 10 oder 20 eintrage, spiele keine Rolle. Die Funktion sei aber wichtig, um zu beweisen, dass man es ernst meine, dass die Daten am Ende tatsächlich entschlüsselt werden.

Der Generator, den White verwendete, hat zudem ein Feedbackfeld. Dort kann man Anregungen, Verbesserungsvorschläge oder Hinweise eintragen, die an den Ersteller gehen. Der weist in Klammern daraufhin, dass man eine E-Mail-Adresse hinterlegen soll, wenn man eine Antwort wünscht. "Faszinierend, nicht?", sagte White.

Wiederherstellung und Reparatur kann teurer sein als Lösegeld

Geoff White interessiert sich auch für die Opfer. Er startete eine Umfrage in Grossbritannien. White befragte Filialen des National Health Service (NHS), Polizeistationen und Verwaltungen. Er erhielt Antwort von 152 NHS-Filialen, 51 Polizeistationen und 50 Verwaltungen.

39 der 152 NHS-Filialen waren schon von Ransomware betroffen. Bei den Polizeistationen waren es 3 und bei den Verwaltungen 22. Wie viele zahlten das Lösegeld? Keiner. Alle stellten ihre Daten über ein Back-up wieder her. Ist das billiger? Nicht zwingend. Laut White beliefen sich die Kosten für Reparatur und Wiederherstellung der betroffenen Systeme bei einer der NHS-Filialen auf 50’000 Pfund.

Opfer von Ransomware-Kampagnen sind laut White aber nicht mehr völlig auf sich gestellt. Es gebe in einigen Fällen einen "Kundenservice". In Supportforen oder via Hotline können sich die Opfer etwa erklären lassen, wie sie das Lösegeld mit Bitcoins bezahlen können.

Nicht irgendein Tool kaufen

Eigentlich sollte es aber gar nie so weit kommen. Ransomware wird in den meisten Fällen via E-Mail verschickt. Trend Micro hat bereits seit Ende der 90er-Jahre einen E-Mail-Schutz, der bei korrekter Konfiguration die schadhafte Software filtert, wie Raimund Genes im persönlichen Gespräch zwischen den Referaten sagte.

Das Problem sei, dass viele Unternehmen eine Menge teure Tools kaufen, die aber dann nicht richtig anwenden. Genes’ Rat: "Kaufen Sie nicht einfach irgendein Tool. Schauen Sie sich Ihr Unternehmen an und schulen Sie Ihre Mitarbeiter."

Webcode
9706