Russland - Trend Micro
Transcription
Russland - Trend Micro
Der russische Untergrund 2.0 Max Goncharov Forward-Looking Threat Research (FTR) Team TrendLabsSM Forschungspapier HAFTUNGSAUSSCHLUSS Die in diesem Dokument bereitgestellten Informationen sind lediglich allgemeiner Natur und für Aufklärungszwecke gedacht. Sie stellen keine Rechtsberatung dar und sind nicht als solche auszulegen. Die in diesem Dokument bereitgestellten Informationen finden womöglich nicht auf alle Sachverhalte Anwendung und spiegeln womöglich nicht die jüngsten Sachverhalte wider. Die Inhalte in diesem Dokument sind ohne eine Rechtsberatung auf der Grundlage der vorgestellten besonderen Fakten und Umstände nicht als verlässlich oder als Handlungsanweisungen zu verstehen und nicht in anderer Weise auszulegen. Trend Micro behält sich das Recht vor, die Inhalte dieses Dokuments zu jeder Zeit und ohne Vorankündigung zu ändern. Übersetzungen in andere Sprachen sind ausschließlich als Unterstützung gedacht. Die Genauigkeit der Übersetzung wird weder garantiert noch stillschweigend zugesichert. Bei Fragen zur Genauigkeit einer Übersetzung lesen Sie bitte in der offiziellen Fassung des Dokuments in der Ursprungssprache nach. Diskrepanzen oder Abweichungen in der übersetzten Fassung sind nicht bindend und haben im Hinblick auf Compliance oder Durchsetzung keine Rechtswirkung. Trend Micro bemüht sich in diesem Dokument im angemessenen Umfang um die Bereitstellung genauer und aktueller Informationen, übernimmt jedoch hinsichtlich Genauigkeit, Aktualität und Voll ständigkeit keine Haftung und macht diesbezüglich keine Zusicherungen. Sie erklären Ihr Einverständnis, dass Sie dieses Dokument und seine Inhalte auf eigene Gefahr nutzen und sich darauf berufen. Trend Micro übernimmt keine Gewährleistung, weder ausdrücklich noch still schweigend. Weder Trend Micro noch Dritte, die an der Konzeption, Erstellung oder Bereitstellung dieses Dokuments beteiligt waren, haften für Folgeschäden oder Verluste, insbesondere direkte, indirekte, besondere oder Nebenschäden, entgangenen Gewinn oder besondere Schäden, die sich aus dem Zugriff auf, der Verwendung oder Un möglichkeit der Verwendung oder in Zusammenhang mit der Verwendung dieses Dokuments oder aus Fehlern und Auslassungen im Inhalt ergeben. Die Verwendung dieser Informationen stellt die Zustimmung zur Nutzung in der vorliegenden Form dar. Inhalt 4 Methoden und Analyse des russischen Untergrunds 8 Produkt- und Dienstleistungslandschaft 12 Tarnkappe: Bulletproof Hosting Server 16 Untergrund-Preisgefüge 20 Automatisierter Handel 32 Politische Aktivitäten aus dem Untergrund Der russische Untergrund etablierte sich ab 2004 über Foren, in denen Cyberkriminelle alles finden, was sie für ihr Geschäft benötigten. Im Untergrund können sie alle Arten von Produkten und Dienstleistung erwerben, die sie beim Aufsetzen von bösartigen Aktivitäten unterstützen. Selbst Code entwickeln ist nicht mehr erforderlich. Seit Jahren verfolgen Trend Micros Sicherheitsforscher die verschiedenen Untergrundmärkte in den einzelnen Ländern und analysieren die Entwicklungen sowie Änderungen, die diese durchlaufen. Der russische Markt hat nimmt immer noch den Status eines Pioniers ein. Die Dinge, die dort ablaufen, sind häufig Indizien dafür, was als nächstes in den anderen Märkten passiert. Bis heute entwickelt er sich und floriert trotz eines evidenten Preisrückgangs für Produkte und Services. In einem ersten Forschungspapier „Russian Underground 101“ [1] geben die Autoren eine allgemeine Beschreibung des Untergrundmarkts, der Akteure und der HackingAktivitäten. Im letzten Jahr aktualisierten sie die Marktinformationen in „Der russische Untergrund – Neuauflage“ [2] und hoben den Preisverfall hervor. In diesem neuen Bericht rund um den russischen Untergrund wird die aktuelle Situation beleuchtet und eine signifikante Entwicklung dargestellt – die steigende Professionalität des Kriminalitätsgeschäfts. Dabei geht es um weitgehend automatisierte Verkaufsprozesse und Arbeitsteilung. Das Niveau der Optimierung ähnelt dem der legalen Unternehmen, die strategische Beratung im Haus hatten. Im Allgemeinen sind die Einstiegsbarrieren in den Markt niedriger als je zuvor. Jeder, der ein Cybercrime-Geschäft starten möchte, findet hier Partner und die nötigen Werkzeuge. Eine steigende Zahl illegaler Produkte und Hacking-Aktivitäten sind verfügbar. Zu den interessantesten Entwicklungen zählt der härter werdende Wettbewerb, die Prozessoptimierung, Automatisierung, Ausgereiftheit, Innovation und die Einführung neuer Angriffswege sowie die politische Motivation. Beweise für die zunehmende Professionalität sind: •S teignde Zahl der Marktteilnehmer, sodass die Betreiber Prozesse automatisieren müssen, um den Handel zu beschleunigen und damit niedrigere Preise ansetzen können, •N eue optimierte und segmentierte Dienste, wie Übersetzung oder Antispam Proofing-Angebote, • Mehr nahtlose und standardisierte Verkaufstransaktionen über neue Marktplätze, • Neue Angriffswege, die unbekannte Sicherheitslücken ausnützen, • Plattform-Registrierungsprozesse, die Anonymität garantieren und •V ereinfachter Zugang zu Bulletproof Hosting Services (BPHSs), die die Basis für nicht aufzudeckende Vorgänge bilden. ABSCHNITT I Methoden für die Analyse des russischen Untergrunds Methoden für die Analyse des russischen Untergrunds Datensammlung und Analyse Um einen tieferen Einblick in neue Entwicklungen der Untergrundgemeinschaft zu bekommen, nutzen die Sicherheitsforscher bestimmte Tools und Techniken für das Sammeln und Analysieren von Rohdaten zum Markt. Der aktuelle Datensammlungs- und Normalisierungsprozess wurde zum Großteil automatisiert. Doch Sprachbarrieren und Nuancen im Untergrund-Slang erfordern immer noch eine sorgfältige manuelle Analyse. Beispielsweise der Begriff „Kreditkarte“ wird von den Kriminellen als “картон” bezeichnet, was eigentlich „Karton“ heißt. Das gleiche Problem wirft ein Begriff wie Paypal auf, denn dieser wird im Slang mit “palka” (палка) übersetzt, was „Stock“ heißt. Die gesammelten Informationen werden dann in bestimmten Kategorien zusammengefasst, üblicherweise nach Aktivitätstypus wie „Verkehrswiederverkauf“, „Rootkit-Erzeugung“ oder „Distributed Denial of Service (DDoS) Service”. Dadurch können die Forscher die Aktivitäten aggregieren und feststellen, welche zu einem bestimmten Zeitpunkt häufiger oder beliebter sind oder wie sich Trends ändern (siehe Anhang). In diesem Jahr kamen vier Kategorien zu den vorhandenen 38 hinzu – zwei für neue Angriffswege, eine für einen Angriffsweg, der wahrscheinlich in naher Zufkunft häufiger anzutreffen sein wird, und eine weitere für eine interessante Nutzung von Ressourcen. Details dazu: • Hochladen von bösartigem Code: Ein Nutzer greift auf eine beliebte Site zu, die ein Krimineller kompromittiert und bösartigen Code (unsichtbares iFrame) eingefügt hat. Der iFrame bringt das Opfer dazu, innerhalb der Site eine weitere Site (die des Kriminellen) zu öffnen. Der Inhalt bleibt normalerweise derselbe. Der Nutzer kann diese Bewegungen nicht sehen, doch durch das Anklicken des iFrames öffnet sich eine komplett andere Domäne. Diese Domäne führt normalerweise ein bösartiges JavaScript (Exploit Kit) aus, das prüft, ob der Browser des Nutzers angreifbar ist. Dann lädt er den richtigen Exploit für die gefundene Lücke hoch und infiziert auf diese Weise den Computer. Diese Technik hat im Falle von neuen Sicherheitslücken (Zero-Day) oder auf ungepatchten Systemen den besten Erfolg. Diese gesamte Prozedur kann man mieten. Ein „Kunde“ muss sich keine Gedanken um die Details des mobilen Code-Hochladens machen, denn die Prozedur wird vom Provider als „bösartige Code-Installationsdienstleistung“ angeboten. 5 | Russischer Untergrund 2.0 • Mobiler Verkehr: Die weltweite Menge an mobilem Datenverkehr stieg 2014 um 69%. In den Vorhersagen für 2014 [3] erklärten die Forscher, dass Mobilgeräte zum am häufigsten genutzten Angriffsvektor wird und fiesere Bedrohungen und Angriffe mit sich bringt. Der Treiber für den Anstieg war der Wechsel im Gerätemix hin zu smarten Geräten. Weil der mobile Verkehr in den nächsten Jahren exponenziell zunimmt, wird er auch vermehrt als Weg für Schadsoftware und Exploits genutzt werden, ähnlich dem Webverkehr vom Computer aus. Kriminelle können den Verkehr filtern, abhängig von der Art des Geräts, das sie infizieren wollen. Mobilgeräte als Ziel scheinen zum größten Trend für Betrug und Schadsoftwareverteilung zu werden. • Router-Missbrauch: Heimrouter sind heutzutage nicht mehr einfache dumme Kisten, die nur PointtoPoint Protocol over Ethernet (PPPoE) sprechen können. Sie können als Proxy für den Verkehr fungieren, Daten speichern und Domain Name System (DNS)-Verkehr umleiten.1 Im Prinzip sind es kleine Computer, die auch USB-Speicher erlauben, die i.d.R. mit einem *nix-Betriebssystem (Unix, Linux, and Android) betrieben werden. Damit könnten sie theoretisch auch in infizierte Boxen verwandelt werden. Dies könnte sich für Kriminelle als effizienter erweisen als das Infizieren regulärer Computer, denn Router sind meist 24x7 online. Routers werden auch kaum vom Besitzer geprüft oder aktualisiert. Es gibt bereits einen Anstieg bei gestohlenen Zugangsdaten für Server und infizierte Heimrouter. • Hacktivismus: Zwischen 2014 und 2015 stießen die Forscher auf eine Reihe von Gruppen, die im Cyber-Umfeld aktiv sind, jedoch nicht aus unternehmerischen sondern aus politischen Motiven. Hacktivismus war ein Mittel der Hacking-Gemeinschaft mit mehr oder weniger liberalen politischen Ideen, Aufmerksamkeit in der Cyberwelt zu erregen. Es gibt immer mehr Hacker-Untergrundaktivität von staatlichen Behörden oder Separatisten. Mit ihren Aktionen im Cyberraum wollen sie in reale Konflikte eingreifen. Das bedeutet aber nicht, dass sie von Staaten gesponsert werden. Viele dieser Gruppen nennen sich selbst „Cyberkrieger“ oder „Cyberarmeen“ und versuchen, bei ihren Unterstützern Legitimität zu erlangen, indem sie ihre Verbindung zu einem Staat, einer politischen Sache oder unterdrückten Menschen betonen. Es ist schwierig zu sagen, wer diese Gruppen tatsächlich untersützt. Russische Untergrundaktivitäten Cybercrime hat sich bezüglich ihrer Komplexität und Organisation weiterentwickelt. Es ist schwierig, die genauen Ausmaße der Untergrundwirtschaft zu schätzen. Statistiken zur Untergrundwirtschaft können nur spekulativ sein, denn es gibt keine jährlichen Berichte oder Buchprüfungen durch Auditoren. 1 Einige Routermodelle erlauben sogar das Speichern von erhaltenen Faxen und Telefonaten 6 | Russischer Untergrund 2.0 Doch wie kann man die Größe der russischen Untergrundgemeinschaft messen? Trend Micros Forscher gründen ihre Schätzungen nicht nur auf der Zahl der Foren oder darauf, wieviele Threads jedes Mitglied täglich produziert. Die Schätzungen beruhen auch auf dem Aktivitäts- und Cyber-Verkehrsvolumen, das sie sehen. Die Anzahl der russischen Untergrundforen steigt jedes Jahr. Einige werden geschlossen, aber die beliebteren wechseln häufig nur ihre Domänennamen. Zum aktuellen Zeitpunkt sind etwa 78 Websites (Foren) aktiv, die unterschiedlich gut besucht sind. Sehr aktiv 27% Aktiv 41% Nicht aktiv 32% Zahl der Untergrundforen mit unterschiedlichem Aktivitätslevel Die Sicherheitsforscher beobachten auch Marktplätze und Foren, die nicht unbedingt auf cyberkriminelle Aktivitäten ausgerichtet sind, doch Spuren von cyberkiminellen Veröffentlichungen enthalten. Sie beobachten Einzelpersonen basierend auf deren Spitznamen, obwohl dies nicht sehr zuverlässig ist, weil die Mitglieder der cyberkriminellen Gemeinschaft ihre Spitznamen häufig ändern, um der Entdeckung zu entgehen, sollten sie einen schlechten Ruf haben. Beliebte Foren können 20.000 bis zu mehreren Hunderten einzelner Mitglieder zählen. Der Untergrundmarkt gibt keine sehr klare Beschreibung zum Einsatzzweck der angebotenen Produkte, doch manchmal gibt es eine Bekanntmachung, die besagt, Russland sollte nicht Ziel einer bösartigen Aktivität sein. Der russische Untergrund fokussiert sich eher auf Blackhat-Aktivitäten, die auf andere Länder zielen (außerhalb der ehemaligen Sowjetunion). 7 | Russischer Untergrund 2.0 ABSCHNITT II Produkt- und Dienstleistungsübersicht Produkt- und Dienstleistungsübersicht Untergrundwaren Cyberkriminelle müssen sich keine Gedanken über die Entwicklung eigener Schadsoftware machen. Im Untergrundmarkt können sie nach Herzenslust bösartige Tools einkaufen. Die angebotenen Produkte und Dienstleistungen sind über die Jahre mehr oder weniger dieselben geblieben. Das Geschäftsmodell ist ebenfalls ziemlich beständig. Der russische Markt etwa ist auf den Verkauf von Traffic Direction Systems (TDSs) spezialisiert und bietet Traffic Direction – sowie Pay-per-Install (PPI)-Services. Verkehrsbezogene Produkte und Services werden zu den Eckpfeilern der gesamten russischen Schadsoftware-Branche, denn der Kauf von Webverkehr kann nicht nur die Opferzahl erhöhen, sondern das Durchforsten des Verkehrs in den Botnet C&C-Servern kann den Akteuren auch dabei helfen, nützliche Informationen für gezielte Angriffe zu finden. Auch wenn die Produkte dieselben bleiben, so gibt es immer mehr Änderungen innerhalb der einzelnen Kategorien: • Im Geschäft mit Kreditkarten ist eine Automatisierung des Prüfprozesses der Karten zu beobachten, etwa beim Kontostand oder der Gültigkeit. Alles kann mit einem Klick durchgeführt werden. • Pläne für Geldwäsche sind nun ebenfalls im Angebot. Es gibt unterschiedliche Möglichkeiten (Kauf von Flugtickets, Hotelbuchungen oder Mieten von teuren Villen). Cyberkriminelle nehmen diese Dienste gern wahr. Früher mussten sie Karteninformationen stehlen und Personen einsetzen, die die gestohlenen Kreditkarten in Bargeld verwandeln. Heutzutage kann etwa der Kriminelle A ein Flugticket für Kriminellen B mit einer gestohlenen Kreditkarte kaufen. Das ursprüngliche Ticket kostet normalerweise 600 $, doch A berechnet B nur 300 $ und macht dennoch einen Reibach von 50%. Damit spart er Zeit und Mühe bei der Geldwäsche. 9 | Russischer Untergrund 2.0 Neue und optimierte Dienstleistungen Automatisiertes Hochladen von Shell Skripts Die Herausforderungen rund um Big Data hat die Cybergemeinschaft sehr effizient gelöst. Ein gutes Beispiel dafür ist das Angebot von Dienstleistungen zum automatisierten Hochladen und den Verkauf von Shell Skripts. Cyberkriminelle versuchen, angreifbare Webserver zu finden und auszunützen, diese dann nach bekannten Dateinamen (z.B. pleasehackme.php in Wordpress) zu scannen. Dann können sie geeignete Shell-Codes oder iFrames hochladen, und die liefern die richtigen Exploits. Nutzer mit Zugriff auf Log-Dateien auf Webservern bekommen immer wieder die Versuche mit, Dateien zu öffnen, die eigentlich nicht auf den Servern vorhanden sind. Diese neue Entwicklung wird wohl künftig häufiger zu sehen sein. Professionelle Untergrundübersetzung Für gezieltes Mail-Spamming sind auch Formulierkenntnisse erforderlich, wenn Bedrohungsakteure sich auf gezielte Angriffe gegen Einzelpersonen über Mail vorbereiten. So müssen sie den Hintergrund der Person kennen und korrekt geschriebene, glaubhaft klingende Mails verfassen. Untergrundforen haben spezielle Gruppen, die Mails für gezielte Angriffe verfassen können. Services für gefälschte Identitätsüberprüfungsanrufe Wenn Cyberkriminelle Geld waschen, müssen sie die Sprache des Landes, in dem sie das tun, fließend sprechen. Entsprechen Geldüberweisungen oder Transaktionen bestimmten Sicherheits-Templates nicht, so kommt es oft vor, dass Banken oder Zahldienste einen „Proof of Identity“-Anruf tätigen. Damit wollen sie sicherstellen, dass der Käufer der echte Kreditkarten- oder Paypal-Kontenbesitzer ist. Für einen solchen Fall ist es für Cyberkriminelle von Vorteil, wenn sie auf einen Service Provider zurückgreifen können, der die Transaktionen unterstützt. Drop-as-a-Service (Разводные незавидные) Angebote Cyberkriminelle, deren Aufgabe darin besteht gestohlene Kreditkarten und Online-Bezahlsystemkonten zu Bargeld zu machen, nennt man „Dropper”. Es gibt zwei Arten, nämlich solche, die nicht wissen, dass sie Dropper sind, und solche, die das genau wissen. Der Markt für Dropping-Services ist riesig. DropKontrolleure können 10 bis 10.000 Dropper über so genannte DropasaService Angebote kontrollieren. Logs zum Verkauf In einem Botnet können Nutzer, die vollständigen Zugriff auf große Server haben, auch Zugang zu den Log-Dateien bekommen und damit Informationen wie Passwörter extrahieren. Damit aber können sie Kreditkarteninformationen finden und auch Log-Dateien kaufen oder verkaufen. Es ist ein Trend zur Verarbeitung von Big Data zu beobachten, um daraus interessante Informationen abzuziehen. Dafür erwerben die Interessenten Logs von einem GB (nicht gepackt) oder mehr zu einem bestimmten Preis und bieten ihren Dienst bei der Verarbeitung der Logs zu einem Fixpreis an. 10 | Russischer Untergrund 2.0 Unternehmenskonten für die Geldwäsche Cyberkriminelle, die ihre Erträge waschen müssen, können dies über Unternehmenskonten tun (Bankkonten, die Unternehmen gehören). Ein solcher Service kostet etwa 50% der zu waschenden Geldsumme. Die meisten Unternehmenskonten, die dafür missbraucht werden, kommen aus den Vereinigten Staaten, Deutschland und Großbritannien. Diese Art von Dienstleistung kostet 50.000 $ oder 50.000 € oder gar mehr. Untergrundforums-Chat über Geldwäsche Antispam Proofing Der Untergrund bietet auch Spezialisten, die wissen, wie Spam-Filter der großen Mail Service Provider (Gmail, Yahoo Mail, MSN, Yonder, etc.) zu umgehen sind. Diese Spezialisten helfen bei der Optimierung der Struktur und/oder der Inhalte des Spams ihrer Kunden. Sie analysieren Spam-Inhalte, sodass diese von den Filtern nicht entdeckt werden. 11 | Russischer Untergrund 2.0 ABSCHNITT III Tarnkappe: Bulletproof Hosting Server Tarnkappe: Bulletproof Hosting Server Bulletproof Hosting Server sind das beliebteste Versteck für Cyberkriminelle. Sie ermöglichen es, bösartige Aktivitäten zu hosten und ihnen gleichzeitig den Anstrich von Legitimität zu verpassen. Sie sind aus Ländern mit laxen Gesetzen heraus tätig.[4] Damit sind sie für Cyberkriminalität, die unter dem Radar vor sich geht, essenziell. In großen Zusammenhängen scheinen sie keine sehr wichtige Rolle zu spielen. Sie tauchen nur dann am Rande auf, wenn cyberkriminelle Operationen öffentlich werden. Doch ohne Unterstützung von Bulletproof Hosting Service (BPHS)-Provider würde der kriminelle Cyberhandel nicht existieren. Diese sicheren Hosts werden dafür genutzt, um Schadsoftware-Komponenten oder Exploit Kits zu speichern. Sie können zudem als Botnet-Befehlszentralen dienen, als Repositories für gestohlene Informationen und Hosts für Phishing Sites, pornografische Inhalte oder Scams. Seitdem Nutzer anonyme Zahlungen über Web-Geld oder Bitcoins leisten können, ist es einfacher geworden, BPHs zu bekommen. Mehr noch, es ist zu einer eigenen Branche geworden. BPHS-Preise und -Standorte hängen weitgehend von den damit verbundenen Risiken beim Hosten bestimmter Inhalte ab. Russische Bulletproof Server können sowohl mittel- als auch hochriskante Inhalte für monatlich nur 70$ (Hardware) oder 20$ (virtuelle private Server, VPS) hosten. VPS-Hosting ist zum Industriestandard geworden, den Kriminelle aufgrund der einfachen Wartung gern nutzen. 13 | Russischer Untergrund 2.0 Anzeige eines BPHS-Anbieters für „anonymes” Bulletproof Hosting BQHOST bietet „schusssichere“ Domänen für 2$ pro Monat 2, Hardware Server für 5$ pro Monat und VPS für 55$ pro Monat. Der Provider offeriert auch verschiedene Standorte, einschließlich Luxemburg, Deutschland, Ukraine und Vereinigte Staaten. 2 Preise sind in US-$ angegeben wegen der einfacheren Umrechung in Web-Geld und Bitcoins. Anzeige des Untergrundforums BHPS (Прямой -- Email спам с серверов -- direkter Spam; Хостинг всевозможного зловреда -- Hosting jeglicher Art von Malware Парсеры or parsers; Брутеры -- Passwort Brute Forcing; Фейки -- Fälschungen ABSCHNITT IV UntergrundPreisgefüge Untergrund-Preisgefüge Über die stetige, jahrelange Überwachung cyberkrimineller Aktivitäten konnten die Sicherheitsforscher die fortschrittlicheren Märkte charakterisieren und Trends ausmachen, die die Bedrohungslandschaft der nächsten paar Jahre bestimmen werden. Eine klare Entwicklung neben dem Auftauchen neuer Produkte war beim Preisgefüge zu beobachten. Bereits 2014 stellten die Forscher fest, dass trotz ausgereifterer und differenzierterer Funktionalitäten die Preise erheblich nachgaben. Dieser Trend führt sich auch in diesem Jahr fort. Der Preisverfall kann eine Vielzahl von Gründen haben. Die Preise im Untergrund werden über Angebot und Nachfrage geregelt und über natürliche Marktschwankungen (ein massiver Einbruch kann eine Flut neuer Kreditkarten auf den Markt bringen, sodass die Preise sinken). Außerdem ist die Konkurrenz größer geworden. Als Ergebnis der höheren Nachfrage und Ausweitung des Geschäfts sind die Cyberkriminellen dazu übergegangen die Prozesse zu automatisieren, um den Verkauf schneller abwickeln zu können. Eine klare Preisstruktur bezieht sich natürlich auf Waren und Services, die standardisiert und mit bestimmten Werten belegt werden können (Kreditkarten, PII, VPN-Zugang usw.). Andere kompliziertere Waren und Services wie Exploits bleiben auch weiterhin teuer oder unterliegen nicht solchen Schwankungen, denn sie erfordern spezielles Wissen und Können, um sie zu erzeugen und den jeweiligen Käufern anzupassen. Niedrigere Preise im russischen Untergrund sind keineswegs ein Zeichen für schlechtes Funktionieren der Wirtschaft. Im Gegenteil, sie zeigen, dass es ein hohes Geschäftsaufkommen gibt. Im Vergleich zu den neuen Verkaufsplattformen im Deep Web floriert der russische Untergrund, denn der Eintritt ins Deep Web ist sehr teuer, und nicht jeder Kriminelle benötigt das dort gebotene Anonymitätsniveau. Der Preis für den Zugang zu Deep Web-Zusammenarbeit kann bei 1.000$ oder drüber liegen. 17 | Russischer Untergrund 2.0 Die folgenden Tabellen zeigen die Preisentwicklung für bestimmte Dienste und Produkte in den letzten fünf Jahren. PPI (Cost per 1,000 2011 installations) Australia 2012 2013 2014 2015 US$300–500 No data No data US$160–190 US$100–180 UK US$220–$300 No data US$150–400 US$150–350 US$90–130 US US$100–150 US$100–250 US$120–200 US$90–150 US$40–100 Europe US$90–250 US$75–90 US$50–110 US$90–240 US$80–130 Russia US$100–500 No data US$140–400 US$100–300 US$100–200 No data No data No data No data US$140 US$12–15 US$10–20 US$10–12 US$8–15 US$10–12 Asia Global PPI (Pay per infection) ist die typische Art der Verbreitung von Schadsoftware. Die Tabelle zeigt die Preise für PPI für auf 1.000 Computer verbreitete Malware. Installation ist garantiert und der Nutzer wird über den Erfolg benachrichtigt. Proxy Service Type 2011 Socket Secure (SOCKS) Proxy list HyperText Transfer Protocol (HTTP) or HTTP Secure (HTTPS) 2012 2013 2014 US$2 per 24 hours US$2 per 24 hours US$2 per 24 hours US$1 per 24 hours US$3 per 300 IP addresses US$4 per 300 IP addresses US$6 per 300 IP addresses US$4 per 300 IP addresses US$2 per day US$1 per day US$1 per day US$0.50 per day Ein Proxy bezieht sich auf einen Computer, der als Proxy für den Verkehr dient; dies kann ein Server, ein Heimcomputer oder jede andere Maschine sein VPN Service Type With one exit point 2011 2012 2013 2014 US$8–12 per month No data No data No data Unlimited access US$40 per month US$38 per month US$24 per month US$15 per month Average US$22 per month US$20 per month US$15 per month US$8 per month Es gibt verschiedene Arten von VPN-Serviceanbietern; einige können öffentlich gefunden werden und akzeptieren PayPal- und Kreditkartenbezahlung, während andere sehr heimlich tätig sind, Nutzer müssen warten, bis die Kriminellen mit ihnen in Kontakt treten (sie nutzen kompromittierte Computer als Exit-Punkte). 18 | Russischer Untergrund 2.0 Antimalware-Checking Service Type 2011 2012 2013 2014 Daily checking US$50 US$30 US$30 US$20 Automatic reuploading US$50 US$30 US$30 US$20 Web checking US$50 US$30 US$30 US$20 Nutzer, die die Schadsoftware haben, mit der sie bestimmte Computer infizieren wollen, gehen zu PPI Service Providern. Sie müssen sicherstellen, dass ihre Schadsoftware von typischen AntimalwareLösungen nicht erkannt wird. Sie lassen ihre Trojaner oder andere Malware nicht auf öffentlich verfügbaren Services wie Virus Total laufen, weil die Site die Informationen zur Malware sofort an Sicherheitsanbieter weitergibt. Deshalb bieten andere „Firmen“ diesen diskreten Prüfservice an. DDoS Service Type 2011 2012 2013 2014 Lasts one hour US$4–10 US$2–25 US$2–60 US$1–100 Lasts 24 hours US$30–70 US$15–60 US$13–200 US$10–140 Die große Vielfalt an DDoS-Services hat mehrere Gründe – Art des Ziels, ob das Ziel über spezielle Software geschützt ist und ob es ein Blackhat oder Whitehat ist. Unterschiede liegen in der Qualtität oder dem während eine DDoS-Angriffs genutzten Verkehrsvolumen. Spamming Service Type (Cost per 10,000 emails) 2011 2012 2013 2014 Generic (using publicly available databases) US$13 US$8 US$4–5 US$1–3 Using external databases US$17 US$14 US$13 US$10 US$600 US$300 US$100 US$40–100 US$55 US$15 US$4–9 US$3–10 No data US$110 US$86 US$49 Sent via Short Message Service (SMS) Sent via ICQ Sent via Skype Spamming service prices 19 | Russischer Untergrund 2.0 ABSCHNITT V Automatisierter Handel Automatisierter Handel Automatisierte Services Automatisierte Garanten- oder Treuhanddienstleistung Alle in Untergrundforen tätigen Akteure verbergen mit Akribie ihre Identitäten. Geht ein Deal schief, so gibt es keinen legalen Weg wie in der realen Welt, um Forderungen geltend zu machen. Deshalb werden Garanten (Treuhänder) eingesetzt, um glattere Transaktionen zu gewährleisten. Treuhandagenten führen jede Transaktion für eine Gebühr von 3 - 15% oder mehr durch, erhalten die Waren und das Geld auf ihren Konten und tauschen diese nach der Bestätigung des Geldeingangs dann aus. Diese Art von Dienstleistung ist nicht ganz neu, doch hat es eine erhebliche Änderung gegeben – einige russische Untergrundforen wie verified.mn bieten automatisierte Garantendienstleistung, die einen schnellen An- und Verkaufsverlauf garantieren. Marktplätze und Foren Wie jeder andere Markt auch, haben Untergrundmärkte ihre Grenzen und entwickeln sich mit Herausforderungen, bringen neue Techniken, Arbeitsbedingungen und manchmal auch Plattformen für Verkäufer/Kunden-Geschäftsabschlüsse. Der Druck, nahtlose, schnelle Käufe und Verkäufe sicherzustellen, hat Marktplätze hervorgebracht, die zum Teil Foren als Transaktionsorte ersetzen. Cyber-Marktplätze sind normalerweise auf bestimmte Waren und Services spezialisiert, wie etwa Kreditkarten, Verkehr (partnerkas) oder dedizierte Server. Marktplätze sind neue virtuelle Shops für standardisierte Waren – Orte, wo Käufer und Verkäufer unter klaren Bedingungen handeln. Sie haben Standardprozeduren und können schneller Zahlungen abwickeln nach technisch durchgesetzten Regeln und sind deshalb wettbewerbsintensiver als Foren. Foren sind langsamer, weil die Nutzer erst Kontakte knüpfen müssen, Deals aushandeln, und dann einen Garant-Service für die Transaktionen einsetzten müssen. Das hängt mit der Art der ursprünglichen Foren zusammen. Diese wurden einst für den Informationsaustausch geschaffen und erst später für Transaktionen genutzt, während Marktplätze ausschließlich als Handelsort fungieren. Aber genau deshalb sind Foren immer noch von Bedeutung. Sie dienen als Informationsaushang und erste Eintrittspunkte für einen Marktplatz und sind auch Orte, wo die Glaubwürdigkeit von Käufern und Verkäufern geprüft werden kann sowie kompliziertere Deals von statten gehen können. Marktplätze sind darauf beschränkt standardisierte Güter zu verkaufen, deren Wert sich leicht bestimmen lässt, so etwa Kreditkarten. Es ist ungleich schwieriger, den genauen Wert von Exploit Kits oder ausgefeilter Schadsoftware zu bestimmen, und daher werden diese eher in Foren verkauft. 21 | Russischer Untergrund 2.0 Solche Marktplätze gibt es im russischen Untergrund seit 2010, doch als Mainstream-Trend erst seit kurzem. 2013 und 2014 brachte mit der wachsenden Menge an gestohlenen Gütern die Änderung. Nach den großen Dateneinbrüchen 2014 (Neimann Marcus, 350.000 Kredit- und Geldkartenbesitzer, Home Depot, 56 Millionen Kunden, JP Morgan, 76 Millionen Haushalte und sieben Millionen kleine Unternehmen, Sony, über 47.000 Sozialversicherungsnummern) wurden die gestohlenen Zugangsdaten im Untergrund verkauft. [5] Zu den in den Marktplätzen üblicherweise verkauften Produkten gehören: • Kreditkarten • Gestohlene Secure Shell (SSH)- und Remote Desktop Protocol (RDP)-Zugang zu Servern und privaten Computer • Webverkehr (immer mehr mobil) • PPI-Services • Gestohlener Zugang zu Paypal und anderen Finanzkonten. Zu den bekanntesten Beispielen für russische Marktplätze gehören: • fe-ccshop.su: Marktplatz für den Kauf von Kreditkarteninformationen, einschließlich Besitzername, Adresse, BIN und Kartentyp. feccshop.su ist auch in das Geschäft mit vorgetäuschten internationalen Versandunternehmen (US Postal Service [USPS] oder US Express Mail International) verwickelt. USPSLabels, die über betrügerische Karten gekauft werden, nennt man im Untergrund “cc labels.” Damit ist es für die betrügerischen Unternehmer einfach, an die benötigten Versand-Labels heranzukommen. feccshop.su ist seit 2011 im Geschäft. • Rescator: ist bekannt für die Online-Kreditkarten-Shops und als Administrator des russischen Carding Forums Lampeduza. Fachleute nennen die Shop-Betreiber auch die Lampeduza Gang, denn Rescator ist nicht die einzige Person hinter diesem Geschäft. Die “offiziellen” Shops, die Rescator betreibt, sind: • Octavian.su • Rescator.cc • Rescator.co • Rescator.cm • Rescator.so 22 | Russischer Untergrund 2.0 Dieser Marktplatz ist so berühmt, dass es sogar Nachahmerversionen gibt. Unter falschen Vorgaben und getarnt mit der Lampeduza-Startseite haben unbekannte Cyberkriminelle Nutzer auf ihre Site gelockt. [6] Rescators Login-Seite • xdedic.biz: Marktplatz über Kompromittierte RDP. werden, Jeder 3 obwohl Computer für Desktops wird den Verkauf Computer (nicht können Server) automatisch von nach • Online-Verkäuferkonten (Amazon, eBay, etc.) • Bezahlsysteme (Paypal) • Spiele-Sites (poker.com) • Verbindungsqualität • Antimalware als gestohlenen für verschiedene Verkehrs-Proxies Informationen Zugangsinformationen Aktivitäten genutzt eingesetzt werden. gescannt, einschließlich: Zugang zu kompromittierten Computern wird auf xdedic.biz verkauft, und von da aus kann der Nutzer tun, was er will (Keylogger oder zusätzliche Software für den Diebstahl von Kontodaten nutzen). 3 Passwörter für Windows® Computer werden mit Brute Force geknackt, um den RDP-Zugriff zu ermöglichen, damit Cyberkriminelle per Fernzugriff diese kontrollieren können und nach Browser-Historienaktivitäten in Logs suchen können, vor allem solche, die Amazon betreffen. 23 | Russischer Untergrund 2.0 Werbung für xdedic.biz Services 24 | Russischer Untergrund 2.0 • ordaproject.com: Marktplatz für den Handel mit Waren wie: • Original-Scans von Ausweisdokumenten aus verschiedenen Ländern für betrügerische Zwecke: • ausländische Reisepässe • inländische Pässe (für die Nutzung innerhalb von Russland) • Ausweise (Identification Cards, ID) • jeder ausländische oder inländische Pass oder ID (einschließlich Foto, das keine reale Verbindung zur verwendeten Adresse, Land oder Geburtsdatum hat) • Automatisch gescannte gefälschte Dokumente (auf Anfrage werden die gefälschten Dokumente auch mit spezieller Software gefertigt, auf der Basis der vom Kunden gelieferten Informationen) • ssndob.cc: “SSN” steht für “Social Security Number”, “DOB” für “Date of Birth” und “CC” für “Credit Card.” Der Marktplatz verkauft SSNs und vollständige Informationen zu bestimmten Personen. Die Informationen werden für betrügerische Zwecke eingesetzt, wobei die Forscher nicht genau herausfinden konnten, welche das sind. Suchfunktion in ssndob.cc 25 | Russischer Untergrund 2.0 Tägliche Updates für Kreditkarten-Datenbanken Ein Beispiel für einen Marktplatz der neuen Generation ist gocvv. cc. Der Namen besagt bereits, wozu er dient: go (go), cvv (Card Verification Value [CVV]) und cc (credit card). Es ist einer der größten, der sich auf den Verkauf und Ankauf von gestohlenen Kreditkarten spezialisiert hat. Der Slogan lautet: „No money, no honey. Choose best cvv service!” (Kein Geld, kein Honig. Wählen Host: IP address: Provider: Country: gocvv.cc 188.xxx.xxx.203 Oversun Ltd. Russia Sie den besten cvv Service). Aktuell befindet sich der Webserver von gocvv.cc in Moskau bei AS6870 H1ASN H1 LLC. Die Registrierung auf gocvv.cc ist limitiert. Der Marktplatz erlaubt lediglich eine bestimmte Zahl von Nutzern. Der Registrierungsprozess ist ziemlich eigen. Er erlaubt es Nutzern selbst generierte Passwörter zu haben, indem sie „Register” drücken. Mit diesen Passwörtern, die verbunden sind mit realen Nutzernamen oder Online-Konten, können die Nutzer auf ihre Profile zugreifen. Dies sind die einzigen Verbindungen der Nutzer zu ihrem Geld oder den Gütern auf gocvv.cc. Die Site ist sehr bemüht, die Identität ihrer Nutzer geheim zu halten. Das trägt dazu bei, das Durchsickern von Identitäten aus der Datenbank der Site zu verhindern und die Mitglieder vor Entdeckung durch Spitzel der Polizei zu schützen. Registrierungsnachricht auf gocvv.cc. Sie bedeutet: “Dies ist dein Passwort: 43159rjiqfnejcqjndvcl1k4. Schütze dein Passwort so gut wie möglich. Im Fall eines Verlusts gibt es keine Möglichkeit eines Resets!” 26 | Russischer Untergrund 2.0 Index-Seite auf gocvv.cc gocvv.cc hat einzigartige Funktionalitäten: • Power-Suche und Filter: Damit können Nutzer einfach die Kreditkarten nach BIN, Marke (Visa, MasterCard, etc.), Kartentypus (Geld oder Kredit), Aussteller (158 Länder) und Postleitzahl durchforsten und filtern. Such- und Filterfunktion auf gocvv.cc 27 | Russischer Untergrund 2.0 • Globaler Kartenindex: Nutzer können damit die Verbreitung bestimmter Kreditkarten auf einer Weltkarte beurteilen. Dazu müssen sie lediglich die Maus über das Land oder die Region, die sie interessiert, ziehen, um die Zahl der dort verfügbaren Kreditkarten zu einem bestimmten Zeitpunkt zu sehen. Global Kartenindex zeigt die Verfügbarkeit von Kreditkarten • Tägliche Updates der Kreditkartendatenbanken: gocvv.cc aktualisiert die Datenbanken alle 24 Stunden. Es gibt 121 Unterdatenbanken, die nach politischen Führungspersönlichkeiten benannt sind, etwa „erdogan”, „amato” oder „chavez”. Es handelt sich dabei um Grunde genommen um Dateien, die ein Verkäufer in die Hauptdatenbank von gocvv.cc einfügt. Der Verkäufer, der seinen eigenen Dump mit Kreditkarten besitzt, setzt diese in eine zip-Datei, lädt sie hoch und das Support Team von gocvv. cc kümmert sich um den Rest. • Gültigkeitsprüfung für Karten: Ein externer Service Provider (cardok, try2check, ucheck, etc.) prüft die Gültigkeit der Karten.Karten für 0,30$ pro Karte. Massenüberprüfungen sind preisgünstiger. 28 | Russischer Untergrund 2.0 Prüfungsseite für die Gültigkeit von Karten In einem Test setzten die Sicherheitsforscher Suchanfragen mit Filtern für Postleitzahl, Land und Stadtname. Sie fanden die Kreditkarteninformationen von 75 Personen aus der Umgebung von Cupertino in Kalifornien. Bei näherem Hinsehen entdeckten sie , dass zwei Kreditkarten mit der Adresse „1 Infinite Loop“ verbunden waren, nämlich die Adresse von Apple Corporation (siehe Anhang für eine Musterliste). Screenshot der zwei Adressen, die anscheinend jemand von Apple gehören 29 | Russischer Untergrund 2.0 Screenshot von Kreditkartendaten von Personen aus Cupertino, Kalifornien 30 | Russischer Untergrund 2.0 ABSCHNITT VI Politische Aktivitäten aus dem Untergrund Politische Aktivitäten aus dem Untergrund Cyber-Krieger und Cyber-Milizen Die Anwendung von Hacking-Kenntnissen für eine politische Sache ist kein neues Phänomen. Während der letzten drei Jahrzehnte hat sich der Cyber-Raum in einen digitalen Kriegsschauplatz für Aktivisten verwandelt, die nicht nur ihre Meinung äußern sondern auch durch direkte Aktionen ihre Sache vertreten wollen [7]. Ihre politische oder ideologische Zugehörigkeit bildet die Basis ihrer Aktivitäten und Taktiken, zu denen üblicherweise das Blockieren des Zugriffs auf Websites gehört, oder die Website-Umleitung sowie das Hacken von Mail-Konten und anderes mehr. Selbsternannte Cyber-Krieger oder -Armeen wiederum versuchen über Hacking-Tools indirekt an größeren Konflikten teilzunehmen. Interessant ist, dass manche Hacker mehr daran interessiert sind, ihre politischen Überzeugungen voranzubringen als Geld zu verdienen. Im russischen Untergrund sind zwei Typen politischer Hacker oder Cyber-Krieger vertreten: • diejenigen mit einer politischen Überzeugung, für die sie kämpfen wollen und für die sie Cyber-Mittel wählen, um aktiv zu werden. Sie sehen sich selbst als „Einheit“ und behaupten, im Namen einer Regierung oder Gruppe von Einzelpersonen zu handeln. Sie nutzen ihr Wissen, um die Infrastruktur ihrer Opfer lahmzulegen (über DDoS-Angriffe etc.). • diejenigen, die ihre Aktionen für Geld ausführen, so genannte „Cyber-Söldner“. Sie werden dafür von Dritten mit politischer Agenda bezahlt. Dies können Aktivistengruppen ohne Cyber-Wissen sein oder gar staatliche Akteure. Die Krise in der Ukraine und die Hacker-Gemeinschaft Die Krise in der Ukraine hat eine heftige Reaktion der Untergrundgemeinschaft ausgelöst. Die Community spaltete sich in zwei Gruppen auf: diejenigen, die die Revolution im Land unterstützten und diejenigen, denen die russische Marschroute näher lag. Wie bereits erwähnt, besteht die russisch sprechende Cybergemeinschaft nicht nur aus Nationalrussen, sondern auch aus Ukrainern, Weißrussen und Personen aus der ehemaligen Sowjetunion, einschließlich der Baltischen Staaten. Es gab heftige Forumsdiskussionen oder Kämpfe bezüglich der Annexion der Krim und weiterer militärischer Aktivitäten auf ukrainischem Boden. Als Ergebnis des Aufeinanderprallens der politischen Ansichten wurden viele dieser Forumsmitglieder daraus verbannt oder verließen sie freiwillig. Darüber hinaus gab es Aktivitäten mit verschiedenen Auswirkungen. 32 | Russischer Untergrund 2.0 CyberBerkut: Angriffe im Namen der russischen Sache Eine prorussische Gruppe namens „CyberBerkut” übernahm die Verantwortung für das Hacking deutscher Regierungs-Sites im Januar dieses Jahres [8]. Die Gruppe benannte sich nach dem ukrainischen Begriff für „goldner Adler“, einer früheren Spezialeinheit der ukrainischen Polizei, die mit hochriskanten Interventionen während des Aufstands und bei Geiselnahmen betraut war. Nach der Auflösung der Truppe im Februar 2014 wurde Berkut-Polizeieinheit dem russischen Innenministerium unterstellt. Die Einheit geriet in die Kritik wegen gewaltsam aufgelöster Proteste während der Maidan-Ereignisse. Dies war auch der Anfang der Gruppe CyberBerkut, die aus prorussischen Cyberkriminellen bestand und deren ausgesprochenes Ziel der Kampf gegen Willkür und Einmischung des Westens war, sowie die Gewährleistung der „Redefreiheit“ in der Ukraine. Seither war CyberBerkut an einer Reihe von Cyberangriffen gegen ukrainische und westliche Regierungsbehörden beteiligt. Die meisten dieser Attacken bestanden in DDoSAngriffen, und sie nutzten anscheinend ausgeklügelte Tools für das Hacking von Mail-Konten und den Diebstahl vertraulicher Informationen. Die Gruppe übernimmt auf ihrer Website (cyber-berkut.org/en/) die Verantwortung für alle diese Angriffe. Zu den von CyberBerkut eingesetzten Mitteln gehören: • “Monitoring” der Netzwerke von ukrainischen Ministerien, des Militärs, des Büros des Staatsanwalts und anderer, • Hacking offizieller Mail-Konten und Server, um Zugang zu vertraulichen Informationen und Gesprächen (Informationsministerium der Ukraine, Auslandsmissionen der USA und der NATOStaaten EUCOM, Armee usw.) zu erhalten und diese zu veröffentlichen, • Angriffe auf die Websites der NATO und deren Mitgliedstaaten (z.B. zeitweise nicht mehr verfügbar) 33 | Russischer Untergrund 2.0 Fazit Fazit Eine tiefer gehende Analyse der heutigen Cyberkriminalität, etwa der im russischen Untergrund, zeigt ein reifes Ökosystem, das alle Aspekte des cyberkriminellen Geschäfts abdeckt. Auch die Untergrundinfrastruktur für den Handel mit bösartigen Waren und Services wird immer professioneller. Die steigende Professionalität des kriminellen Geschäfts führt zu niedrigeren Preisen, um den Verkauf zu beherrschen und es dabei jedem auch ohne großes Wissen zu erleichtern, alles zu kaufen, was für kriminelle Handlungen gebraucht wird. Der russische Marktplatz ist mittlerweile sehr segmentiert und besteht aus verschiedenen Service-Gruppen, die Kriminelle auf verschiedenen Gebieten mit ihrer Expertise unterstützen. Der Bedarf treibt die Innovation, und deshalb gibt es immer ausgereiftere Tools, die Handelsprozesse weitgehend automatisieren. Um mit den Herausforderungen der Untergrundbedrohungen fertig zu werden, ist es wichtig, dass die Sicherheitsbranche die Strukturen und Arbeitsweise der Untergrundmärkte versteht. Trend Micro arbeitet stetig daran, die neuesten signifikanten Trends im Untergrund zu finden und zu analysieren. 35 | Russischer Untergrund 2.0 Anhang Einzelheiten zu den Methoden der Datensammlung Innerhalb der Kategorisierung lassen sich Aktivitäten nach dem Querschnittsprinzip einordnen. Normalerweise haben die Sicherheitsforscher jeder Cyberaktivität mehr als eine Kategorie zugeordnet. Beispielsweise wurde „bösartiger Verkehr“ unter „PPI”, „Verkauf von Traffic” und in einigen Fällen „BlackhatSsearch Engine Optimization (SEO)” kategorisiert. Dieses Vorgehen erlaubt mehr Flexibilität und schließt mehr Aspekte mit ein, um mehr Optionen für Datenkorrelation zu schaffen. Manchmal werben die Cyberkriminellen für ihre Waren oder Dienste auf mehreren Foren zugleich. Die Forscher wenden Vergleichstechniken an, um die Informationsschnipsel zu korrelieren, um Zeit und Ressourcen zu sparen während manueller Kategorisierung, Datennomalisierung und Analyse der ankommenden Daten. Liste der Aktivitätskategorien 1. Verschlüsselungsdienste 14. Rootkits 26. Fälschung 2. Dedizierte Server 15. Carder 27. Verkehr 3. SOCKS Proxy 16. Social Engineering 28. SEO 4. VPN 17. Konten-Hacking 29. Geld-Pläne 5. PPI 18. Wiederverkauf von Dokumenten-Scans 30. Web Shell 6. Programmierung 7. DDoS-Services 8. Spam 9. C&C 10. Antivirus (AV)-Check 11. Geldwäsche 12. File Transfer Protocol 13. Trojaner 36 | Russischer Untergrund 2.0 19. Missbrauchs-Services 20. SMS-Betrug 21. Ransomware 22. Verschleierung 23. Serials 24. Exploit 25. iMoney 31. Datenbank 32. Remote Access Tool (RAT) 33. Online-Spielekonten 34. Jabber 35. Android-APK-Entwicklung 36. Fake APK Software 37. Mobilverkehr 38. Mobiler Betrug gocvv.cc-Unterdatenbanken, nach politischen Führern benannt Datenbank Spitzname Anzahl der Kreditkarten Gültig grotewohl thebest amato krone garfield thebest peel usafucker 899 86.46% kiesinger thebest 302 85.73% chamberlain thebest 214 85.61% compton thebest 294 85.60% luther thebest 115 84.70% holles thebest 87 84.44% caprivi thebest 422 83.71% harding thebest 788 83.28% jenkinson thebest 1,132 82.89% adenauer thebest 385 82.86% russell thebest 55 82.73% erhard thebest 1,995 82.62% taft thebest 614 81.92% perceval thebest 110 81.54% arthur thebest 3,074 81.52% bauer thebest 54 81.29% erdogan berkut 65,565 80.97% bruning texasranger 4,775 80.88% lukashenko thebest 1,372 80.23% goria thebest 1,281 79.44% bannerman thebest 637 79.27% north thebest 121 79.11% modrow thebest 26 79.09% michaelis thebest 1,043 79.04% polk thebest 3,865 78.88% andreotti thebest 210 78.72% hertling thebest 855 78.39% kennedy thebest 698 78.32% cuno thebest 461 78.27% grant thebest 16,723 77.89% law texasranger 2,343 77.61% letta godzilla 106 77.38% pierce thebest 1,877 77.35% cleveland thebest 1,838 77.28% morales thebest 2,596 77.26% baden thebest 377 77.23% dalema wizard 2,305 77.13% grey thebest 1,601 76.79% temple thebest 775 76.49% 37 | Russischer Untergrund 2.0 934 87.55% 56 87.41% 239 86.82% Datenbank Spitzname Anzahl der Kreditkarten Gültig truman thebest 676 76.36% walpole thebest 206 76.32% addington thebest 4,308 76.29% prodi thebest 36 76.02% macmillan thebest 515 75.70% sindermann thebest 209 75.69% stoph thebest 183 75.61% fehrenbach thebest 137 75.21% fitzmaurice thebest 12,821 74.81% bentinck thebest 554 74.58% harrison thebest 410 74.58% rudd thebest 2,301 74.31% mitterrand thebest 3,676 74.15% marx ne0 525 74.11% buchanan thebest 748 73.89% lamb wizard 1,127 72.97% heath thebest 2,584 72.55% johnson thebest 1,154 72.42% ciampi texasranger 574 72.32% baldwin texasranger 213 71.80% andropov thebest 598 71.67% dini pipedream 330 71.60% brandt thebest 352 71.52% walesa thebest 425 71.20% douglas-home thebest 672 71.19% coolidge thebest 235 70.85% schroder thebest 2,014 70.85% khamenei jsilver 138 70.66% devonshire thebest 625 70.38% macdonald thebest 1,341 70.17% lincoln thebest 1,017 70.14% ford thebest 203 70.12% mckinley thebest 8,789 69.94% stresemann thebest 468 69.54% ebert thebest 482 69.36% fillmore thebest 349 69.27% brezhnev thebest 682 68.85% schwerin thebest 1,828 68.48% de gaulle thebest 1,443 68.38% khrushchev thebest 147 68.06% hitler thebest 796 66.57% goebbels thebest 662 66.16% disraeli thebest 3,290 65.95% franklin optimus 80,931 65.54% 38 | Russischer Untergrund 2.0 Datenbank Spitzname Anzahl der Kreditkarten Gültig asquith thebest 53 65.51% blair thebest 289 65.22% derby thebest 211 64.95% balfour thebest 472 64.71% buren thebest 516 64.30% major thebest 456 64.30% primrose thebest 1,579 63.99% grafton optimus 25 63.70% taylor thebest 722 62.90% salisbury thebest 1,262 62.41% hollweg krone 1,536 62.39% callaghan thebest 154 61.75% aberdeen thebest 713 60.89% koutchma thebest 28,297 60.71% mussolini thebest 111 60.41% wilson thebest 913 60.34% renzi thebest 1,474 59.69% chavez long 209 59.55% grenville thebest 567 59.22% churchill thebest 361 58.68% chlodwig thebest 483 58.45% brown thebest 1,028 58.24% silva thebest 1,024 58.16% pitt thebest 604 57.69% hayes optimus 3,735 56.60% papen thebest 433 56.43% eden thebest 841 56.12% clinton thebest 6,762 55.53% haase thebest 4,123 55.03% cameron thebest 265 53.86% bolivar thebest 3,493 52.37% chernenko thebest 348 52.05% bulow thebest 1,757 51.89% carter optimus 4,955 50.19% merkel thebest 230 49.14% wirth qwer 90 48.95% jinping optimus 8,079 35.18% 39 | Russischer Untergrund 2.0 Referenzen 1. Max Goncharov. (2012). Trend Micro Security Intelligence. “Russian Underground 101.” http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-russianunderground-101.pdf 2. Max Goncharov (2014), Trend Micro Security Intelligence “Russischer Untergrund - Neuauflage”, http://www.trendmicro.de/media/wp/russischer-untergrund-whitepaper-de.pdf 3. TrendLabs (2013), Trend Micro Security Intelligence, “Verschwommene Grenzen: Trend Micros Sicherheitsvorhersagen für 2014 und darüber hinaus ” http://www.trendmicro.de/media/misc/trend-micro-predictions-for-2014-and-beyond-de.pdf 4. Max Goncharov (2015), Trend Micro Forschung und Analyse, “Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting Services”, http://www.trendmicro.de/media/wp/wp-criminal-hideouts-for-lease-de.pdf 5. Bill Hardekopf (14. Januar 2015), Forbes, “The Big Data Breaches of 2014”, http://www.forbes.com/sites/moneybuilder/2015/01/13/the-big-data-breaches-of-2014/ 6. Trend Micro (7. Oktober 2014), TrendLabs Security Intelligence Blog, “No Honor Among Thieves: Beware the Lampeduza Scam” http://blog.trendmicro.com/trendlabs-security-intelligence/no-honor-among-thieves-beware-the-lampeduzascam/ 7. Steven Levy (1984), “Hackers: Heroes of the Computer Revolution” 8. Trend Micro (20. Januar 2015), TrendLabs Security Intelligence Blog, “Hacktivist Group CyberBerkut Behind Attacks on German Official Websites” http://blog.trendmicro.com/trendlabs-security-intelligence/hacktivist-group-cyberberkut-behind-attacks-ongerman-official-websites/ 40 | Russischer Untergrund 2.0 E r s te l l t v o n : T h e G l o b a l Te c h n i c a l S u p p o r t a n d R & D C e n te r o f T R E N D M I C R O. TREND MICRO Deutschland GmbH Zeppelinstrasse 1 85399 Hallbergmoos Germany Tel. +49 (0) 811 88990–700 Fax +49 (0) 811 88990–799 Über Trend Micro TM Trend Micro, der international führende Anbieter für Cloud-Security, ermöglicht Unternehmen und Endanwendern den sicheren Austausch digitaler Informationen. Als Vorreiter bei Server-Security mit mehr als fünfundzwanzigjähriger Erfahrung bietet Trend Micro client-, server- und cloud-basierte Sicherheitslösungen an. Diese Lösungen für Internet-Content-Security und Threat-Management erkennen neue Bedrohungen schneller und sichern Daten in physischen, virtualisierten und Cloud-Umgebungen umfassend ab. Die auf der Cloud-Computing-Infrastruktur des Trend Micro Smart Protection Network basierenden Technologien, Lösungen und Dienstleistungen wehren Bedrohungen dort ab, wo sie entstehen: im Internet. Unterstützt werden sie dabei von mehr als 1.000 weltweit tätigen SicherheitsExperten. Trend Micro ist ein transnationales Unternehmen mit Hauptsitz in Tokio und bietet seine Sicherheitslösungen über Vertriebspartner weltweit an. http://www.trendmicro.de/ http://blog.trendmicro.de/ http://www.twitter.com/TrendMicroDE TREND MICRO Schweiz GmbH Schaffhauserstrasse 104 8152 Glattbrugg Switzerland Tel. +41 (0) 44 82860–80 Fax +41 (0) 44 82860–81 TREND MICRO (SUISSE) SÀRL World Trade Center Avenue Gratta-Paille 2 1018 Lausanne Switzerland www.trendmicro.com ©2015 Trend Micro Incorporated. Alle Rechte vorbehalten. Trend Micro und das Trend Micro T-Ball-Logo sind Marken oder eingetragene Marken von Trend Micro Incorporated. Alle anderen Firmen- oder Produktnamen sind Marken oder eingetragene Marken ihrer jeweiligen Eigentümer.