Sicherheitsforscher von Check Point haben in Zusammenarbeit mit TerbiumLabs, einer Dark Web Data Intelligence-Firma die Malware-as-a-Service mit Namen „DiamondFox“ untersucht und stellen die Ergebnisse in einem 26-seitigen Report vor.

In den letzten Jahren hat sich die organisierte Kriminalität im Bereich Cybercrime immer stärker professionalisiert. Durch das Phänomen Malware-as-a-Service können auch Kriminelle, die nicht über entsprechende Programmier- oder tiefergehende IT-Kenntnisse verfügen, ermöglicht Schadsoftware zu erwerben und einzusetzen. Zu den bisher bekannten Malware-as-a-Service-Angeboten gehören Drive-by-Attacken, Ransomware, Banking-Trojaner und weitere Angriffs-Tools. Die Bezahlung erfolgt auf unterschiedlichsten Wegen.

BKA Lagebild Cybercrime
Diese Entdeckung der beiden Sicherheitsfirmen deckt sich auch mit den Erkenntnissen des BKA im immer noch aktuellen Lagebild Cybercrime 2015. Dort wird auf Seite 7 unter 2.3 Organisierte Kriminalität ein Wachstum bei kriminellen Gruppierungen verzeichnet. Waren dem BKA im Jahr 2013 noch nur 6 Gruppierungen bekannt, stieg diese Anzahl auf 12 im Jahr 2014 und erhöhte sich auf 22 im Jahr 2015:„Gemessen an der Gesamtzahl der im Jahr 2015 registrierten OK-(organisierte Kriminalität) Gruppierungen (566) bewegt sich der Anteil der im Bereich Cybercrime aktiven Gruppierungen zwar immer noch auf einem relativ niedrigen Niveau, die Tendenz ist jedoch steigend“.

Bei der „DiamondFox“ Malware-as-a-Service handelt es sich um ein modulares Botnetz, dass in verschiedenen Untergrundforen gemietet werden kann und aus verschiedenen Plug-Ins besteht sowie die Planung von verschiedenen Kampagnen zulässt. Mit dem Botnetz lassen sich Spionage-Aktivitäten durchführen (Key-Logging/Browser Passwort-Klau), Identitäten stehlen (z.B. um Crypto Currency-Wallets auszurauben) und sogar DDoS-Attacken starten.

Die Sicherheitsexperten beider Firmen bezeichnen DiamondFox als „One-Stop-Shop“, es handelt sich also um einen Service, bei dem nur einmal das Programm heruntergeladen werden muss. Über Plug-Ins können weitere Funktionen später nachgekauft werden.

Die technische Analyse zeigt die Skalierbarkeit des Angebots. Die Sicherheitsforscher vergleichen diesen Malware-Service dadurch mit dem Cerber Ransomware-as-a-service und dem Sundown Exploit Kit, die ähnlich benutzerfreundlich aufgebaut sind.

Der Darknet-Name des Verkäufers ist „Edbitss“, der sich auch mit der weiteren Entwicklung beschäftigt. Der Report enthält einige pikante Details und Screenshots zu Unterhaltungen zwischen „Edbitss“ und seinen Käufern. Zudem erkennen die Forscher, dass die Hintermänner auf Supportanfragen schnell reagieren und das Angebot weiterentwickeln.

Weitere Beiträge....