Russland - Trend Micro

Transcription

Der russische Untergrund 2.0
Max Goncharov
Forward-Looking Threat Research (FTR) Team
TrendLabsSM Forschungspapier
HAFTUNGSAUSSCHLUSS
Die in diesem Dokument bereitgestellten Informationen sind lediglich allgemeiner Natur und für
Aufklärungszwecke gedacht. Sie stellen keine
Rechtsberatung dar und sind nicht als solche
auszulegen. Die in diesem Dokument bereitgestellten Informationen finden womöglich nicht
auf alle Sachverhalte Anwendung und spiegeln
womöglich nicht die jüngsten Sachverhalte wider.
Die Inhalte in diesem Dokument sind ohne eine
Rechtsberatung auf der Grundlage der vorgestellten
besonderen Fakten und Umstände nicht als
verlässlich oder als Handlungsanweisungen zu
verstehen und nicht in anderer Weise auszulegen.
Trend Micro behält sich das Recht vor, die Inhalte
dieses Dokuments zu jeder Zeit und ohne
Vorankündigung zu ändern.
Übersetzungen in andere Sprachen sind ausschließlich als Unterstützung gedacht. Die Genauigkeit der Übersetzung wird weder garantiert noch
stillschweigend zugesichert. Bei Fragen zur Genauigkeit einer Übersetzung lesen Sie bitte in
der offiziellen Fassung des Dokuments in der Ursprungssprache nach. Diskrepanzen oder Abweichungen in der übersetzten Fassung sind nicht
bindend und haben im Hinblick auf Compliance
oder Durchsetzung keine Rechtswirkung.
Trend Micro bemüht sich in diesem Dokument
im angemessenen Umfang um die Bereitstellung
genauer und aktueller Informationen, übernimmt
jedoch hinsichtlich Genauigkeit, Aktualität und
Voll
ständigkeit keine Haftung und macht diesbezüglich keine Zusicherungen. Sie erklären Ihr
Einverständnis, dass Sie dieses Dokument und
seine Inhalte auf eigene Gefahr nutzen und sich
darauf berufen. Trend Micro übernimmt keine
Gewährleistung, weder ausdrücklich noch still
schweigend. Weder Trend Micro noch Dritte, die
an der Konzeption, Erstellung oder Bereitstellung
dieses Dokuments beteiligt waren, haften für
Folgeschäden oder Verluste, insbesondere
direkte, indirekte, besondere oder Nebenschäden,
entgangenen Gewinn oder besondere Schäden,
die sich aus dem Zugriff auf, der Verwendung
oder Un
möglichkeit der Verwendung oder in
Zusammenhang mit der Verwendung dieses
Dokuments oder aus Fehlern und Auslassungen
im Inhalt ergeben. Die Verwendung dieser
Informationen stellt die Zustimmung zur Nutzung
in der vorliegenden Form dar.
Inhalt
4
Methoden und Analyse des
russischen Untergrunds
8
Produkt- und
Dienstleistungslandschaft
12
Tarnkappe:
Bulletproof Hosting Server
16
Untergrund-Preisgefüge
20
Automatisierter Handel
32
Politische Aktivitäten
aus dem Untergrund
Der russische Untergrund etablierte sich ab 2004 über Foren, in denen Cyberkriminelle
alles finden, was sie für ihr Geschäft benötigten. Im Untergrund können sie alle Arten
von Produkten und Dienstleistung erwerben, die sie beim Aufsetzen von bösartigen
Aktivitäten unterstützen. Selbst Code entwickeln ist nicht mehr erforderlich.
Seit Jahren verfolgen Trend Micros Sicherheitsforscher die verschiedenen
Untergrundmärkte in den einzelnen Ländern und analysieren die Entwicklungen sowie
Änderungen, die diese durchlaufen. Der russische Markt hat nimmt immer noch den
Status eines Pioniers ein. Die Dinge, die dort ablaufen, sind häufig Indizien dafür, was als
nächstes in den anderen Märkten passiert. Bis heute entwickelt er sich und floriert trotz
eines evidenten Preisrückgangs für Produkte und Services.
In einem ersten Forschungspapier „Russian Underground 101“ [1] geben die Autoren
eine allgemeine Beschreibung des Untergrundmarkts, der Akteure und der HackingAktivitäten. Im letzten Jahr aktualisierten sie die Marktinformationen in „Der russische
Untergrund – Neuauflage“ [2] und hoben den Preisverfall hervor. In diesem neuen
Bericht rund um den russischen Untergrund wird die aktuelle Situation beleuchtet
und eine signifikante Entwicklung dargestellt – die steigende Professionalität des
Kriminalitätsgeschäfts. Dabei geht es um weitgehend automatisierte Verkaufsprozesse
und Arbeitsteilung. Das Niveau der Optimierung ähnelt dem der legalen Unternehmen,
die strategische Beratung im Haus hatten.
Im Allgemeinen sind die Einstiegsbarrieren in den Markt niedriger als je zuvor. Jeder, der
ein Cybercrime-Geschäft starten möchte, findet hier Partner und die nötigen Werkzeuge.
Eine steigende Zahl illegaler Produkte und Hacking-Aktivitäten sind verfügbar. Zu
den interessantesten Entwicklungen zählt der härter werdende Wettbewerb, die
Prozessoptimierung, Automatisierung, Ausgereiftheit, Innovation und die Einführung
neuer Angriffswege sowie die politische Motivation. Beweise für die zunehmende
Professionalität sind:
•S
teignde Zahl der Marktteilnehmer, sodass die Betreiber Prozesse automatisieren
müssen, um den Handel zu beschleunigen und damit niedrigere Preise ansetzen können,
•N
eue optimierte und segmentierte Dienste, wie Übersetzung oder Antispam
Proofing-Angebote,
• Mehr nahtlose und standardisierte Verkaufstransaktionen über neue Marktplätze,
• Neue Angriffswege, die unbekannte Sicherheitslücken ausnützen,
• Plattform-Registrierungsprozesse, die Anonymität garantieren und
•V
ereinfachter Zugang zu Bulletproof Hosting Services (BPHSs), die die Basis für nicht
aufzudeckende Vorgänge bilden.
ABSCHNITT I
Methoden für die Analyse des
russischen Untergrunds
Methoden für die Analyse des russischen
Untergrunds
Datensammlung und Analyse
Um einen tieferen Einblick in neue Entwicklungen der Untergrundgemeinschaft zu bekommen, nutzen die
Sicherheitsforscher bestimmte Tools und Techniken für das Sammeln und Analysieren von Rohdaten zum
Markt. Der aktuelle Datensammlungs- und Normalisierungsprozess wurde zum Großteil automatisiert.
Doch Sprachbarrieren und Nuancen im Untergrund-Slang erfordern immer noch eine sorgfältige manuelle
Analyse. Beispielsweise der Begriff „Kreditkarte“ wird von den Kriminellen als “картон” bezeichnet, was
eigentlich „Karton“ heißt. Das gleiche Problem wirft ein Begriff wie Paypal auf, denn dieser wird im Slang
mit “palka” (палка) übersetzt, was „Stock“ heißt.
Die gesammelten Informationen werden dann in bestimmten Kategorien zusammengefasst, üblicherweise
nach Aktivitätstypus wie „Verkehrswiederverkauf“, „Rootkit-Erzeugung“ oder „Distributed Denial
of
Service (DDoS) Service”. Dadurch können die Forscher die Aktivitäten aggregieren und feststellen, welche
zu einem bestimmten Zeitpunkt häufiger oder beliebter sind oder wie sich Trends ändern (siehe Anhang).
In diesem Jahr kamen vier Kategorien zu den vorhandenen 38 hinzu – zwei für neue Angriffswege, eine für
einen Angriffsweg, der wahrscheinlich in naher Zufkunft häufiger anzutreffen sein wird, und eine weitere
für eine interessante Nutzung von Ressourcen. Details dazu:
•
Hochladen von bösartigem Code: Ein Nutzer greift auf eine beliebte Site zu, die ein Krimineller
kompromittiert und bösartigen Code (unsichtbares iFrame) eingefügt hat. Der iFrame bringt das
Opfer dazu, innerhalb der Site eine weitere Site (die des Kriminellen) zu öffnen. Der Inhalt bleibt
normalerweise derselbe. Der Nutzer kann diese Bewegungen nicht sehen, doch durch das Anklicken des
iFrames öffnet sich eine komplett andere Domäne. Diese Domäne führt normalerweise ein bösartiges
JavaScript (Exploit Kit) aus, das prüft, ob der Browser des Nutzers angreifbar ist. Dann lädt er den
richtigen Exploit für die gefundene Lücke hoch und infiziert auf diese Weise den Computer. Diese
Technik hat im Falle von neuen Sicherheitslücken (Zero-Day) oder auf ungepatchten Systemen den
besten Erfolg. Diese gesamte Prozedur kann man mieten. Ein „Kunde“ muss sich keine Gedanken um
die Details des mobilen Code-Hochladens machen, denn die Prozedur wird vom Provider als „bösartige
Code-Installationsdienstleistung“ angeboten.
5 | Russischer Untergrund 2.0
•
Mobiler Verkehr: Die weltweite Menge an mobilem Datenverkehr stieg 2014 um 69%. In den
Vorhersagen für 2014 [3] erklärten die Forscher, dass Mobilgeräte zum am häufigsten genutzten
Angriffsvektor wird und fiesere Bedrohungen und Angriffe mit sich bringt. Der Treiber für den Anstieg
war der Wechsel im Gerätemix hin zu smarten Geräten. Weil der mobile Verkehr in den nächsten
Jahren exponenziell zunimmt, wird er auch vermehrt als Weg für Schadsoftware und Exploits genutzt
werden, ähnlich dem Webverkehr vom Computer aus. Kriminelle können den Verkehr filtern, abhängig
von der Art des Geräts, das sie infizieren wollen. Mobilgeräte als Ziel scheinen zum größten Trend für
Betrug und Schadsoftwareverteilung zu werden.
•
Router-Missbrauch: Heimrouter sind heutzutage nicht mehr einfache dumme Kisten, die nur
PointtoPoint Protocol over Ethernet (PPPoE) sprechen können. Sie können als Proxy für den Verkehr
fungieren, Daten speichern und Domain Name System (DNS)-Verkehr umleiten.1 Im Prinzip sind es
kleine Computer, die auch USB-Speicher erlauben, die i.d.R. mit einem *nix-Betriebssystem (Unix,
Linux, and Android) betrieben werden. Damit könnten sie theoretisch auch in infizierte Boxen
verwandelt werden. Dies könnte sich für Kriminelle als effizienter erweisen als das Infizieren regulärer
Computer, denn Router sind meist 24x7 online. Routers werden auch kaum vom Besitzer geprüft
oder aktualisiert. Es gibt bereits einen Anstieg bei gestohlenen Zugangsdaten für Server und infizierte
Heimrouter.
•
Hacktivismus: Zwischen 2014 und 2015 stießen die Forscher auf eine Reihe von Gruppen, die im
Cyber-Umfeld aktiv sind, jedoch nicht aus unternehmerischen sondern aus politischen Motiven.
Hacktivismus war ein Mittel der Hacking-Gemeinschaft mit mehr oder weniger liberalen politischen
Ideen, Aufmerksamkeit in der Cyberwelt zu erregen. Es gibt immer mehr Hacker-Untergrundaktivität
von staatlichen Behörden oder Separatisten. Mit ihren Aktionen im Cyberraum wollen sie in reale
Konflikte eingreifen. Das bedeutet aber nicht, dass sie von Staaten gesponsert werden. Viele dieser
Gruppen nennen sich selbst „Cyberkrieger“ oder „Cyberarmeen“ und versuchen, bei ihren Unterstützern
Legitimität zu erlangen, indem sie ihre Verbindung zu einem Staat, einer politischen Sache oder
unterdrückten Menschen betonen. Es ist schwierig zu sagen, wer diese Gruppen tatsächlich untersützt.
Russische Untergrundaktivitäten
Cybercrime hat sich bezüglich ihrer Komplexität und Organisation weiterentwickelt. Es ist schwierig, die
genauen Ausmaße der Untergrundwirtschaft zu schätzen. Statistiken zur Untergrundwirtschaft können
nur spekulativ sein, denn es gibt keine jährlichen Berichte oder Buchprüfungen durch Auditoren.
1 Einige Routermodelle erlauben sogar das Speichern von erhaltenen Faxen und Telefonaten
Doch wie kann man die Größe der russischen Untergrundgemeinschaft messen? Trend Micros Forscher
gründen ihre Schätzungen nicht nur auf der Zahl der Foren oder darauf, wieviele Threads jedes Mitglied
täglich produziert. Die Schätzungen beruhen auch auf dem Aktivitäts- und Cyber-Verkehrsvolumen, das
sie sehen. Die Anzahl der russischen Untergrundforen steigt jedes Jahr. Einige werden geschlossen, aber
die beliebteren wechseln häufig nur ihre Domänennamen. Zum aktuellen Zeitpunkt sind etwa 78 Websites
(Foren) aktiv, die unterschiedlich gut besucht sind.
Sehr aktiv
27%
Aktiv
41%
Nicht aktiv
32%
Zahl der Untergrundforen mit unterschiedlichem Aktivitätslevel
Die Sicherheitsforscher beobachten auch Marktplätze und Foren, die nicht unbedingt auf cyberkriminelle
Aktivitäten ausgerichtet sind, doch Spuren von cyberkiminellen Veröffentlichungen enthalten. Sie
beobachten Einzelpersonen basierend auf deren Spitznamen, obwohl dies nicht sehr zuverlässig ist, weil
die Mitglieder der cyberkriminellen Gemeinschaft ihre Spitznamen häufig ändern, um der Entdeckung
zu entgehen, sollten sie einen schlechten Ruf haben. Beliebte Foren können 20.000 bis zu mehreren
Hunderten einzelner Mitglieder zählen.
Der Untergrundmarkt gibt keine sehr klare Beschreibung zum Einsatzzweck der angebotenen Produkte,
doch manchmal gibt es eine Bekanntmachung, die besagt, Russland sollte nicht Ziel einer bösartigen
Aktivität sein. Der russische Untergrund fokussiert sich eher auf Blackhat-Aktivitäten, die auf andere
Länder zielen (außerhalb der ehemaligen Sowjetunion).
ABSCHNITT II
Produkt- und
Dienstleistungsübersicht
Produkt- und Dienstleistungsübersicht
Untergrundwaren
Cyberkriminelle müssen sich keine Gedanken über die Entwicklung eigener Schadsoftware machen. Im
Untergrundmarkt können sie nach Herzenslust bösartige Tools einkaufen. Die angebotenen Produkte und
Dienstleistungen sind über die Jahre mehr oder weniger dieselben geblieben. Das Geschäftsmodell ist
ebenfalls ziemlich beständig. Der russische Markt etwa ist auf den Verkauf von Traffic Direction Systems
(TDSs) spezialisiert und bietet Traffic Direction – sowie Pay-per-Install (PPI)-Services. Verkehrsbezogene
Produkte und Services werden zu den Eckpfeilern der gesamten russischen Schadsoftware-Branche, denn
der Kauf von Webverkehr kann nicht nur die Opferzahl erhöhen, sondern das Durchforsten des Verkehrs
in den Botnet C&C-Servern kann den Akteuren auch dabei helfen, nützliche Informationen für gezielte
Angriffe zu finden.
Auch wenn die Produkte dieselben bleiben, so gibt es immer mehr Änderungen innerhalb der einzelnen
Kategorien:
•
Im Geschäft mit Kreditkarten ist eine Automatisierung des Prüfprozesses der Karten zu beobachten,
etwa beim Kontostand oder der Gültigkeit. Alles kann mit einem Klick durchgeführt werden.
•
Pläne für Geldwäsche sind nun ebenfalls im Angebot. Es gibt unterschiedliche Möglichkeiten (Kauf
von Flugtickets, Hotelbuchungen oder Mieten von teuren Villen).
Cyberkriminelle nehmen diese Dienste gern wahr. Früher mussten sie Karteninformationen stehlen und
Personen einsetzen, die die gestohlenen Kreditkarten in Bargeld verwandeln. Heutzutage kann etwa der
Kriminelle A ein Flugticket für Kriminellen B mit einer gestohlenen Kreditkarte kaufen. Das ursprüngliche
Ticket kostet normalerweise 600 $, doch A berechnet B nur 300 $ und macht dennoch einen Reibach von
50%. Damit spart er Zeit und Mühe bei der Geldwäsche.
Neue und optimierte Dienstleistungen
Automatisiertes Hochladen von Shell Skripts
Die Herausforderungen rund um Big Data hat die Cybergemeinschaft sehr effizient gelöst. Ein gutes
Beispiel dafür ist das Angebot von Dienstleistungen zum automatisierten Hochladen und den Verkauf
von Shell Skripts. Cyberkriminelle versuchen, angreifbare Webserver zu finden und auszunützen, diese
dann nach bekannten Dateinamen (z.B. pleasehackme.php in Wordpress) zu scannen. Dann können sie
geeignete Shell-Codes oder iFrames hochladen, und die liefern die richtigen Exploits. Nutzer mit Zugriff auf
Log-Dateien auf Webservern bekommen immer wieder die Versuche mit, Dateien zu öffnen, die eigentlich
nicht auf den Servern vorhanden sind. Diese neue Entwicklung wird wohl künftig häufiger zu sehen sein.
Professionelle Untergrundübersetzung
Für gezieltes Mail-Spamming sind auch Formulierkenntnisse erforderlich, wenn Bedrohungsakteure sich
auf gezielte Angriffe gegen Einzelpersonen über Mail vorbereiten. So müssen sie den Hintergrund der
Person kennen und korrekt geschriebene, glaubhaft klingende Mails verfassen. Untergrundforen haben
spezielle Gruppen, die Mails für gezielte Angriffe verfassen können.
Services für gefälschte Identitätsüberprüfungsanrufe
Wenn Cyberkriminelle Geld waschen, müssen sie die Sprache des Landes, in dem sie das tun, fließend
sprechen. Entsprechen Geldüberweisungen oder Transaktionen bestimmten Sicherheits-Templates nicht,
so kommt es oft vor, dass Banken oder Zahldienste einen „Proof of Identity“-Anruf tätigen. Damit wollen
sie sicherstellen, dass der Käufer der echte Kreditkarten- oder Paypal-Kontenbesitzer ist. Für einen solchen
Fall ist es für Cyberkriminelle von Vorteil, wenn sie auf einen Service Provider zurückgreifen können, der
die Transaktionen unterstützt.
Drop-as-a-Service (Разводные незавидные) Angebote
Cyberkriminelle, deren Aufgabe darin besteht gestohlene Kreditkarten und Online-Bezahlsystemkonten
zu Bargeld zu machen, nennt man „Dropper”. Es gibt zwei Arten, nämlich solche, die nicht wissen, dass
sie Dropper sind, und solche, die das genau wissen. Der Markt für Dropping-Services ist riesig. DropKontrolleure können 10 bis 10.000 Dropper über so genannte DropasaService Angebote kontrollieren.
Logs zum Verkauf
In einem Botnet können Nutzer, die vollständigen Zugriff auf große Server haben, auch Zugang zu den
Log-Dateien bekommen und damit Informationen wie Passwörter extrahieren. Damit aber können sie
Kreditkarteninformationen finden und auch Log-Dateien kaufen oder verkaufen. Es ist ein Trend zur
Verarbeitung von Big Data zu beobachten, um daraus interessante Informationen abzuziehen. Dafür
erwerben die Interessenten Logs von einem GB (nicht gepackt) oder mehr zu einem bestimmten Preis und
bieten ihren Dienst bei der Verarbeitung der Logs zu einem Fixpreis an.
Unternehmenskonten für die Geldwäsche
Cyberkriminelle, die ihre Erträge waschen müssen, können dies über Unternehmenskonten tun
(Bankkonten, die Unternehmen gehören). Ein solcher Service kostet etwa 50% der zu waschenden
Geldsumme. Die meisten Unternehmenskonten, die dafür missbraucht werden, kommen aus den
Vereinigten Staaten, Deutschland und Großbritannien. Diese Art von Dienstleistung kostet 50.000 $ oder
50.000 € oder gar mehr.
Untergrundforums-Chat über Geldwäsche
Antispam Proofing
Der Untergrund bietet auch Spezialisten, die wissen, wie Spam-Filter der großen Mail Service Provider
(Gmail, Yahoo Mail, MSN, Yonder, etc.) zu umgehen sind. Diese Spezialisten helfen bei der Optimierung
der Struktur und/oder der Inhalte des Spams ihrer Kunden. Sie analysieren Spam-Inhalte, sodass diese
von den Filtern nicht entdeckt werden.
ABSCHNITT III
Tarnkappe: Bulletproof
Hosting Server
Tarnkappe: Bulletproof Hosting Server
Bulletproof Hosting Server sind das beliebteste Versteck für Cyberkriminelle. Sie ermöglichen es, bösartige
Aktivitäten zu hosten und ihnen gleichzeitig den Anstrich von Legitimität zu verpassen. Sie sind aus
Ländern mit laxen Gesetzen heraus tätig.[4] Damit sind sie für Cyberkriminalität, die unter dem Radar
vor sich geht, essenziell. In großen Zusammenhängen scheinen sie keine sehr wichtige Rolle zu spielen.
Sie tauchen nur dann am Rande auf, wenn cyberkriminelle Operationen öffentlich werden. Doch ohne
Unterstützung von Bulletproof Hosting Service (BPHS)-Provider würde der kriminelle Cyberhandel nicht
existieren.
Diese sicheren Hosts werden dafür genutzt, um Schadsoftware-Komponenten oder Exploit Kits zu speichern.
Sie können zudem als Botnet-Befehlszentralen dienen, als Repositories für gestohlene Informationen und
Hosts für Phishing Sites, pornografische Inhalte oder Scams. Seitdem Nutzer anonyme Zahlungen über
Web-Geld oder Bitcoins leisten können, ist es einfacher geworden, BPHs zu bekommen. Mehr noch, es ist
zu einer eigenen Branche geworden.
BPHS-Preise und -Standorte hängen weitgehend von den damit verbundenen Risiken beim Hosten
bestimmter Inhalte ab. Russische Bulletproof Server können sowohl mittel- als auch hochriskante Inhalte
für monatlich nur 70$ (Hardware) oder 20$ (virtuelle private Server, VPS) hosten. VPS-Hosting ist zum
Industriestandard geworden, den Kriminelle aufgrund der einfachen Wartung gern nutzen.
Anzeige eines BPHS-Anbieters für „anonymes” Bulletproof Hosting
BQHOST bietet „schusssichere“ Domänen für 2$ pro Monat 2, Hardware Server für 5$ pro Monat und VPS für
55$ pro Monat. Der Provider offeriert auch verschiedene Standorte, einschließlich Luxemburg, Deutschland,
Ukraine und Vereinigte Staaten.
2 Preise sind in US-$ angegeben wegen der einfacheren Umrechung in Web-Geld und Bitcoins.
Anzeige des Untergrundforums BHPS (Прямой -- Email
спам с серверов -- direkter Spam;
Хостинг всевозможного зловреда -- Hosting jeglicher Art von Malware
Парсеры or parsers; Брутеры -- Passwort Brute Forcing;
Фейки -- Fälschungen
ABSCHNITT IV
UntergrundPreisgefüge
Untergrund-Preisgefüge
Über die stetige, jahrelange Überwachung cyberkrimineller Aktivitäten konnten die Sicherheitsforscher
die fortschrittlicheren Märkte charakterisieren und Trends ausmachen, die die Bedrohungslandschaft der
nächsten paar Jahre bestimmen werden. Eine klare Entwicklung neben dem Auftauchen neuer Produkte
war beim Preisgefüge zu beobachten. Bereits 2014 stellten die Forscher fest, dass trotz ausgereifterer und
differenzierterer Funktionalitäten die Preise erheblich nachgaben. Dieser Trend führt sich auch in diesem
Jahr fort.
Der Preisverfall kann eine Vielzahl von Gründen haben. Die Preise im Untergrund werden über Angebot
und Nachfrage geregelt und über natürliche Marktschwankungen (ein massiver Einbruch kann eine Flut
neuer Kreditkarten auf den Markt bringen, sodass die Preise sinken). Außerdem ist die Konkurrenz größer
geworden. Als Ergebnis der höheren Nachfrage und Ausweitung des Geschäfts sind die Cyberkriminellen
dazu übergegangen die Prozesse zu automatisieren, um den Verkauf schneller abwickeln zu können.
Eine klare Preisstruktur bezieht sich natürlich auf Waren und Services, die standardisiert und mit bestimmten
Werten belegt werden können (Kreditkarten, PII, VPN-Zugang usw.). Andere kompliziertere Waren und
Services wie Exploits bleiben auch weiterhin teuer oder unterliegen nicht solchen Schwankungen, denn
sie erfordern spezielles Wissen und Können, um sie zu erzeugen und den jeweiligen Käufern anzupassen.
Niedrigere Preise im russischen Untergrund sind keineswegs ein Zeichen für schlechtes Funktionieren
der Wirtschaft. Im Gegenteil, sie zeigen, dass es ein hohes Geschäftsaufkommen gibt. Im Vergleich zu den
neuen Verkaufsplattformen im Deep Web floriert der russische Untergrund, denn der Eintritt ins Deep
Web ist sehr teuer, und nicht jeder Kriminelle benötigt das dort gebotene Anonymitätsniveau. Der Preis
für den Zugang zu Deep Web-Zusammenarbeit kann bei 1.000$ oder drüber liegen.
Die folgenden Tabellen zeigen die Preisentwicklung für bestimmte Dienste und Produkte in den letzten
fünf Jahren.
PPI (Cost per 1,000
2011
installations)
Australia
2012
2013
2014
2015
US$300–500
No data
No data
US$160–190
US$100–180
UK
US$220–$300
No data
US$150–400
US$150–350
US$90–130
US
US$100–150
US$100–250
US$120–200
US$90–150
US$40–100
Europe
US$90–250
US$75–90
US$50–110
US$90–240
US$80–130
Russia
US$100–500
No data
US$140–400
US$100–300
US$100–200
No data
No data
No data
No data
US$140
US$12–15
US$10–20
US$10–12
US$8–15
US$10–12
Asia
Global
PPI (Pay per infection) ist die typische Art der Verbreitung von Schadsoftware.
Die Tabelle zeigt die Preise für PPI für auf 1.000 Computer verbreitete Malware. Installation ist
garantiert und der Nutzer wird über den Erfolg benachrichtigt.
Proxy Service
Type
2011
Socket Secure
(SOCKS)
Proxy list
HyperText Transfer
Protocol (HTTP)
or HTTP Secure
(HTTPS)
2012
2013
2014
US$2 per 24 hours
US$2 per 24 hours
US$2 per 24 hours
US$1 per 24 hours
US$3 per 300 IP
addresses
US$4 per 300 IP
addresses
US$6 per 300 IP
addresses
US$4 per 300 IP
addresses
US$2 per day
US$1 per day
US$1 per day
US$0.50 per day
Ein Proxy bezieht sich auf einen Computer, der als Proxy für den Verkehr dient;
dies kann ein Server, ein Heimcomputer oder jede andere Maschine sein
VPN Service Type
With one exit point
2011
2012
2013
2014
US$8–12 per month
No data
No data
No data
Unlimited access
US$40 per month
US$38 per month
US$24 per month
US$15 per month
Average
US$22 per month
US$20 per month
US$15 per month
US$8 per month
Es gibt verschiedene Arten von VPN-Serviceanbietern; einige können öffentlich gefunden werden und
akzeptieren PayPal- und Kreditkartenbezahlung, während andere sehr heimlich tätig sind, Nutzer müssen
warten, bis die Kriminellen mit ihnen in Kontakt treten (sie nutzen kompromittierte Computer als Exit-Punkte).
Antimalware-Checking Service Type
2011
2012
2013
2014
Daily checking
US$50
US$30
US$30
US$20
Automatic reuploading
US$50
US$30
US$30
US$20
Web checking
US$50
US$30
US$30
US$20
Nutzer, die die Schadsoftware haben, mit der sie bestimmte Computer infizieren wollen, gehen zu PPI
Service Providern. Sie müssen sicherstellen, dass ihre Schadsoftware von typischen AntimalwareLösungen nicht erkannt wird. Sie lassen ihre Trojaner oder andere Malware nicht auf öffentlich
verfügbaren Services wie Virus Total laufen, weil die Site die Informationen zur Malware sofort an
Sicherheitsanbieter weitergibt. Deshalb bieten andere „Firmen“ diesen diskreten Prüfservice an.
DDoS Service Type
2011
2012
2013
2014
Lasts one hour
US$4–10
US$2–25
US$2–60
US$1–100
Lasts 24 hours
US$30–70
US$15–60
US$13–200
US$10–140
Die große Vielfalt an DDoS-Services hat mehrere Gründe – Art des Ziels, ob das Ziel über spezielle
Software geschützt ist und ob es ein Blackhat oder Whitehat ist. Unterschiede liegen in der Qualtität
oder dem während eine DDoS-Angriffs genutzten Verkehrsvolumen.
Spamming Service Type
(Cost per 10,000 emails)
2011
2012
2013
2014
Generic (using publicly available databases)
US$13
US$8
US$4–5
US$1–3
Using external databases
US$17
US$14
US$13
US$10
US$600
US$300
US$100
US$40–100
US$55
US$15
US$4–9
US$3–10
No data
US$110
US$86
US$49
Sent via Short Message Service (SMS)
Sent via ICQ
Sent via Skype
Spamming service prices
ABSCHNITT V
Automatisierte Services
Automatisierte Garanten- oder Treuhanddienstleistung
Alle in Untergrundforen tätigen Akteure verbergen mit Akribie ihre Identitäten. Geht ein Deal schief, so
gibt es keinen legalen Weg wie in der realen Welt, um Forderungen geltend zu machen. Deshalb werden
Garanten (Treuhänder) eingesetzt, um glattere Transaktionen zu gewährleisten. Treuhandagenten führen
jede Transaktion für eine Gebühr von 3 - 15% oder mehr durch, erhalten die Waren und das Geld auf ihren
Konten und tauschen diese nach der Bestätigung des Geldeingangs dann aus. Diese Art von Dienstleistung
ist nicht ganz neu, doch hat es eine erhebliche Änderung gegeben – einige russische Untergrundforen wie
verified.mn bieten automatisierte Garantendienstleistung, die einen schnellen An- und Verkaufsverlauf
garantieren.
Marktplätze und Foren
Wie jeder andere Markt auch, haben Untergrundmärkte ihre Grenzen und entwickeln sich mit
Herausforderungen, bringen neue Techniken, Arbeitsbedingungen und manchmal auch Plattformen für
Verkäufer/Kunden-Geschäftsabschlüsse. Der Druck, nahtlose, schnelle Käufe und Verkäufe sicherzustellen,
hat Marktplätze hervorgebracht, die zum Teil Foren als Transaktionsorte ersetzen. Cyber-Marktplätze
sind normalerweise auf bestimmte Waren und Services spezialisiert, wie etwa Kreditkarten, Verkehr
(partnerkas) oder dedizierte Server.
Marktplätze sind neue virtuelle Shops für standardisierte Waren – Orte, wo Käufer und Verkäufer unter
klaren Bedingungen handeln. Sie haben Standardprozeduren und können schneller Zahlungen abwickeln
nach technisch durchgesetzten Regeln und sind deshalb wettbewerbsintensiver als Foren. Foren sind
langsamer, weil die Nutzer erst Kontakte knüpfen müssen, Deals aushandeln, und dann einen Garant-Service
für die Transaktionen einsetzten müssen. Das hängt mit der Art der ursprünglichen Foren zusammen. Diese
wurden einst für den Informationsaustausch geschaffen und erst später für Transaktionen genutzt, während
Marktplätze ausschließlich als Handelsort fungieren. Aber genau deshalb sind Foren immer noch von
Bedeutung. Sie dienen als Informationsaushang und erste Eintrittspunkte für einen Marktplatz und sind auch
Orte, wo die Glaubwürdigkeit von Käufern und Verkäufern geprüft werden kann sowie kompliziertere Deals
von statten gehen können. Marktplätze sind darauf beschränkt standardisierte Güter zu verkaufen, deren
Wert sich leicht bestimmen lässt, so etwa Kreditkarten. Es ist ungleich schwieriger, den genauen Wert von
Exploit Kits oder ausgefeilter Schadsoftware zu bestimmen, und daher werden diese eher in Foren verkauft.
Solche Marktplätze gibt es im russischen Untergrund seit 2010, doch als Mainstream-Trend erst seit
kurzem. 2013 und 2014 brachte mit der wachsenden Menge an gestohlenen Gütern die Änderung. Nach den
großen Dateneinbrüchen 2014 (Neimann Marcus, 350.000 Kredit- und Geldkartenbesitzer, Home Depot,
56 Millionen Kunden, JP Morgan, 76 Millionen Haushalte und sieben Millionen kleine Unternehmen,
Sony, über 47.000 Sozialversicherungsnummern) wurden die gestohlenen Zugangsdaten im Untergrund
verkauft. [5] Zu den in den Marktplätzen üblicherweise verkauften Produkten gehören:
•
Kreditkarten
•
Gestohlene Secure Shell (SSH)- und Remote Desktop Protocol (RDP)-Zugang zu Servern und privaten
Computer
•
Webverkehr (immer mehr mobil)
•
PPI-Services
•
Gestohlener Zugang zu Paypal und anderen Finanzkonten.
Zu den bekanntesten Beispielen für russische Marktplätze gehören:
•
fe-ccshop.su: Marktplatz für den Kauf von Kreditkarteninformationen, einschließlich Besitzername,
Adresse, BIN und Kartentyp. feccshop.su ist auch in das Geschäft mit vorgetäuschten internationalen
Versandunternehmen (US Postal Service [USPS] oder US Express Mail International) verwickelt. USPSLabels, die über betrügerische Karten gekauft werden, nennt man im Untergrund “cc labels.” Damit ist
es für die betrügerischen Unternehmer einfach, an die benötigten Versand-Labels heranzukommen.
feccshop.su ist seit 2011 im Geschäft.
•
Rescator: ist bekannt für die Online-Kreditkarten-Shops und als Administrator des russischen
Carding Forums Lampeduza. Fachleute nennen die Shop-Betreiber auch die Lampeduza Gang, denn
Rescator ist nicht die einzige Person hinter diesem Geschäft. Die “offiziellen” Shops, die Rescator
betreibt, sind:
•
Octavian.su
•
Rescator.cc
•
Rescator.co
•
Rescator.cm
•
Rescator.so
Dieser Marktplatz ist so berühmt, dass es sogar Nachahmerversionen gibt. Unter falschen Vorgaben
und getarnt mit der Lampeduza-Startseite haben unbekannte Cyberkriminelle Nutzer auf ihre Site
gelockt. [6]
Rescators Login-Seite
•
xdedic.biz:
Marktplatz
über
Kompromittierte
RDP.
werden,
Jeder
3
obwohl
Computer
für
Desktops
wird
den
Verkauf
Computer
(nicht
können
Server)
automatisch
von
nach
•
Online-Verkäuferkonten (Amazon, eBay, etc.)
•
Bezahlsysteme (Paypal)
•
Spiele-Sites (poker.com)
•
Verbindungsqualität
•
Antimalware
als
gestohlenen
für
verschiedene
Verkehrs-Proxies
Informationen
Zugangsinformationen
Aktivitäten
genutzt
eingesetzt
werden.
gescannt,
einschließlich:
Zugang zu kompromittierten Computern wird auf xdedic.biz verkauft, und von da aus kann der Nutzer
tun, was er will (Keylogger oder zusätzliche Software für den Diebstahl von Kontodaten nutzen).
3 Passwörter für Windows® Computer werden mit Brute Force geknackt, um den RDP-Zugriff zu ermöglichen,
damit Cyberkriminelle per Fernzugriff diese kontrollieren können und nach Browser-Historienaktivitäten in Logs suchen
können, vor allem solche, die Amazon betreffen.
Werbung für xdedic.biz Services
•
ordaproject.com: Marktplatz für den Handel mit Waren wie:
•
Original-Scans von Ausweisdokumenten aus verschiedenen Ländern für betrügerische Zwecke:
•
ausländische Reisepässe
•
inländische Pässe (für die Nutzung innerhalb von Russland)
•
Ausweise (Identification Cards, ID)
•
jeder ausländische oder inländische Pass oder ID (einschließlich Foto, das keine reale
Verbindung zur verwendeten Adresse, Land oder Geburtsdatum hat)
•
Automatisch gescannte gefälschte Dokumente (auf Anfrage werden die gefälschten Dokumente
auch mit spezieller Software gefertigt, auf der Basis der vom Kunden gelieferten Informationen)
•
ssndob.cc: “SSN” steht für “Social Security Number”, “DOB” für “Date of Birth” und “CC” für “Credit
Card.” Der Marktplatz verkauft SSNs und vollständige Informationen zu bestimmten Personen.
Die Informationen werden für betrügerische Zwecke eingesetzt, wobei die Forscher nicht genau
herausfinden konnten, welche das sind.
Suchfunktion in ssndob.cc
Tägliche Updates für Kreditkarten-Datenbanken
Ein Beispiel für einen Marktplatz der neuen Generation ist gocvv.
cc. Der Namen besagt bereits, wozu er dient: go (go), cvv (Card
Verification Value [CVV]) und cc (credit card). Es ist einer der
größten, der sich auf den Verkauf und Ankauf von gestohlenen
Kreditkarten spezialisiert hat. Der Slogan lautet: „No money, no
honey. Choose best cvv service!” (Kein Geld, kein Honig. Wählen
Host:
IP address:
Provider:
Country:
gocvv.cc
188.xxx.xxx.203
Oversun Ltd.
Russia
Sie den besten cvv Service). Aktuell befindet sich der Webserver
von gocvv.cc in Moskau bei AS6870 H1ASN H1 LLC.
Die Registrierung auf gocvv.cc ist limitiert. Der Marktplatz erlaubt lediglich eine bestimmte Zahl von
Nutzern. Der Registrierungsprozess ist ziemlich eigen. Er erlaubt es Nutzern selbst generierte Passwörter zu
haben, indem sie „Register” drücken. Mit diesen Passwörtern, die verbunden sind mit realen Nutzernamen
oder Online-Konten, können die Nutzer auf ihre Profile zugreifen. Dies sind die einzigen Verbindungen
der Nutzer zu ihrem Geld oder den Gütern auf gocvv.cc. Die Site ist sehr bemüht, die Identität ihrer Nutzer
geheim zu halten. Das trägt dazu bei, das Durchsickern von Identitäten aus der Datenbank der Site zu
verhindern und die Mitglieder vor Entdeckung durch Spitzel der Polizei zu schützen.
Registrierungsnachricht auf gocvv.cc.
Sie bedeutet: “Dies ist dein Passwort: 43159rjiqfnejcqjndvcl1k4. Schütze dein Passwort so gut wie
möglich. Im Fall eines Verlusts gibt es keine Möglichkeit eines Resets!”
Index-Seite auf gocvv.cc
gocvv.cc hat einzigartige Funktionalitäten:
•
Power-Suche und Filter: Damit können Nutzer einfach die Kreditkarten nach BIN, Marke
(Visa, MasterCard, etc.), Kartentypus (Geld oder Kredit), Aussteller (158 Länder) und Postleitzahl
durchforsten und filtern.
Such- und Filterfunktion auf gocvv.cc
•
Globaler Kartenindex: Nutzer können damit die Verbreitung bestimmter Kreditkarten auf einer
Weltkarte beurteilen. Dazu müssen sie lediglich die Maus über das Land oder die Region, die sie
interessiert, ziehen, um die Zahl der dort verfügbaren Kreditkarten zu einem bestimmten Zeitpunkt
zu sehen.
Global Kartenindex zeigt die Verfügbarkeit von Kreditkarten
•
Tägliche Updates der Kreditkartendatenbanken: gocvv.cc aktualisiert die Datenbanken alle 24
Stunden. Es gibt 121 Unterdatenbanken, die nach politischen Führungspersönlichkeiten benannt sind,
etwa „erdogan”, „amato” oder „chavez”. Es handelt sich dabei um Grunde genommen um Dateien, die
ein Verkäufer in die Hauptdatenbank von gocvv.cc einfügt. Der Verkäufer, der seinen eigenen Dump
mit Kreditkarten besitzt, setzt diese in eine zip-Datei, lädt sie hoch und das Support Team von gocvv.
cc kümmert sich um den Rest.
•
Gültigkeitsprüfung für Karten: Ein externer Service Provider (cardok, try2check, ucheck, etc.)
prüft die Gültigkeit der Karten.Karten für 0,30$ pro Karte. Massenüberprüfungen sind preisgünstiger.
Prüfungsseite für die Gültigkeit von Karten
In einem Test setzten die Sicherheitsforscher Suchanfragen mit Filtern für Postleitzahl, Land und
Stadtname. Sie fanden die Kreditkarteninformationen von 75 Personen aus der Umgebung von Cupertino
in Kalifornien. Bei näherem Hinsehen entdeckten sie , dass zwei Kreditkarten mit der Adresse „1 Infinite
Loop“ verbunden waren, nämlich die Adresse von Apple Corporation (siehe Anhang für eine Musterliste).
Screenshot der zwei Adressen, die anscheinend jemand von Apple gehören
Screenshot von Kreditkartendaten von Personen aus Cupertino, Kalifornien
ABSCHNITT VI
Politische Aktivitäten
aus dem Untergrund
Politische Aktivitäten aus dem Untergrund
Cyber-Krieger und Cyber-Milizen
Die Anwendung von Hacking-Kenntnissen für eine politische Sache ist kein neues Phänomen. Während
der letzten drei Jahrzehnte hat sich der Cyber-Raum in einen digitalen Kriegsschauplatz für Aktivisten
verwandelt, die nicht nur ihre Meinung äußern sondern auch durch direkte Aktionen ihre Sache vertreten
wollen [7]. Ihre politische oder ideologische Zugehörigkeit bildet die Basis ihrer Aktivitäten und Taktiken,
zu denen üblicherweise das Blockieren des Zugriffs auf Websites gehört, oder die Website-Umleitung sowie
das Hacken von Mail-Konten und anderes mehr. Selbsternannte Cyber-Krieger oder -Armeen wiederum
versuchen über Hacking-Tools indirekt an größeren Konflikten teilzunehmen.
Interessant ist, dass manche Hacker mehr daran interessiert sind, ihre politischen Überzeugungen
voranzubringen als Geld zu verdienen. Im russischen Untergrund sind zwei Typen politischer Hacker oder
Cyber-Krieger vertreten:
•
diejenigen mit einer politischen Überzeugung, für die sie kämpfen wollen und für die sie Cyber-Mittel
wählen, um aktiv zu werden. Sie sehen sich selbst als „Einheit“ und behaupten, im Namen einer
Regierung oder Gruppe von Einzelpersonen zu handeln. Sie nutzen ihr Wissen, um die Infrastruktur
ihrer Opfer lahmzulegen (über DDoS-Angriffe etc.).
•
diejenigen, die ihre Aktionen für Geld ausführen, so genannte „Cyber-Söldner“. Sie werden dafür von
Dritten mit politischer Agenda bezahlt. Dies können Aktivistengruppen ohne Cyber-Wissen sein oder
gar staatliche Akteure.
Die Krise in der Ukraine und die Hacker-Gemeinschaft
Die Krise in der Ukraine hat eine heftige Reaktion der Untergrundgemeinschaft ausgelöst. Die
Community spaltete sich in zwei Gruppen auf: diejenigen, die die Revolution im Land unterstützten
und diejenigen, denen die russische Marschroute näher lag. Wie bereits erwähnt, besteht die russisch
sprechende Cybergemeinschaft nicht nur aus Nationalrussen, sondern auch aus Ukrainern, Weißrussen
und Personen aus der ehemaligen Sowjetunion, einschließlich der Baltischen Staaten. Es gab heftige
Forumsdiskussionen oder Kämpfe bezüglich der Annexion der Krim und weiterer militärischer Aktivitäten
auf ukrainischem Boden. Als Ergebnis des Aufeinanderprallens der politischen Ansichten wurden viele
dieser Forumsmitglieder daraus verbannt oder verließen sie freiwillig. Darüber hinaus gab es Aktivitäten
mit verschiedenen Auswirkungen.
CyberBerkut: Angriffe im Namen der russischen Sache
Eine prorussische Gruppe namens „CyberBerkut” übernahm die Verantwortung für das Hacking deutscher
Regierungs-Sites im Januar dieses Jahres [8]. Die Gruppe benannte sich nach dem ukrainischen Begriff
für „goldner Adler“, einer früheren Spezialeinheit der ukrainischen Polizei, die mit hochriskanten
Interventionen während des Aufstands und bei Geiselnahmen betraut war. Nach der Auflösung der
Truppe im Februar 2014 wurde Berkut-Polizeieinheit dem russischen Innenministerium unterstellt. Die
Einheit geriet in die Kritik wegen gewaltsam aufgelöster Proteste während der Maidan-Ereignisse. Dies
war auch der Anfang der Gruppe CyberBerkut, die aus prorussischen Cyberkriminellen bestand und deren
ausgesprochenes Ziel der Kampf gegen Willkür und Einmischung des Westens war, sowie die Gewährleistung
der „Redefreiheit“ in der Ukraine. Seither war CyberBerkut an einer Reihe von Cyberangriffen gegen
ukrainische und westliche Regierungsbehörden beteiligt. Die meisten dieser Attacken bestanden in DDoSAngriffen, und sie nutzten anscheinend ausgeklügelte Tools für das Hacking von Mail-Konten und den
Diebstahl vertraulicher Informationen. Die Gruppe übernimmt auf ihrer Website (cyber-berkut.org/en/)
die Verantwortung für alle diese Angriffe.
Zu den von CyberBerkut eingesetzten Mitteln gehören:
•
“Monitoring” der Netzwerke von ukrainischen Ministerien, des Militärs, des Büros des Staatsanwalts
und anderer,
•
Hacking offizieller Mail-Konten und Server, um Zugang zu vertraulichen Informationen und
Gesprächen (Informationsministerium der Ukraine, Auslandsmissionen der USA und der NATOStaaten EUCOM, Armee usw.) zu erhalten und diese zu veröffentlichen,
•
Angriffe auf die Websites der NATO und deren Mitgliedstaaten (z.B. zeitweise nicht mehr verfügbar)
Fazit
Fazit
Eine tiefer gehende Analyse der heutigen Cyberkriminalität, etwa der im russischen Untergrund,
zeigt ein reifes Ökosystem, das alle Aspekte des cyberkriminellen Geschäfts abdeckt. Auch die
Untergrundinfrastruktur für den Handel mit bösartigen Waren und Services wird immer professioneller.
Die steigende Professionalität des kriminellen Geschäfts führt zu niedrigeren Preisen, um den Verkauf
zu beherrschen und es dabei jedem auch ohne großes Wissen zu erleichtern, alles zu kaufen, was für
kriminelle Handlungen gebraucht wird. Der russische Marktplatz ist mittlerweile sehr segmentiert
und besteht aus verschiedenen Service-Gruppen, die Kriminelle auf verschiedenen Gebieten mit ihrer
Expertise unterstützen. Der Bedarf treibt die Innovation, und deshalb gibt es immer ausgereiftere Tools,
die Handelsprozesse weitgehend automatisieren.
Um mit den Herausforderungen der Untergrundbedrohungen fertig zu werden, ist es wichtig, dass die
Sicherheitsbranche die Strukturen und Arbeitsweise der Untergrundmärkte versteht. Trend Micro arbeitet
stetig daran, die neuesten signifikanten Trends im Untergrund zu finden und zu analysieren.
Anhang
Einzelheiten zu den Methoden der Datensammlung
Innerhalb der Kategorisierung lassen sich Aktivitäten nach dem Querschnittsprinzip einordnen.
Normalerweise haben die Sicherheitsforscher jeder Cyberaktivität mehr als eine Kategorie zugeordnet.
Beispielsweise wurde „bösartiger Verkehr“ unter „PPI”, „Verkauf von Traffic” und in einigen Fällen
„BlackhatSsearch Engine Optimization (SEO)” kategorisiert. Dieses Vorgehen erlaubt mehr Flexibilität
und schließt mehr Aspekte mit ein, um mehr Optionen für Datenkorrelation zu schaffen.
Manchmal werben die Cyberkriminellen für ihre Waren oder Dienste auf mehreren Foren zugleich.
Die Forscher wenden Vergleichstechniken an, um die Informationsschnipsel zu korrelieren, um Zeit
und Ressourcen zu sparen während manueller Kategorisierung, Datennomalisierung und Analyse der
ankommenden Daten.
Liste der Aktivitätskategorien
1. Verschlüsselungsdienste
14. Rootkits
26. Fälschung
2. Dedizierte Server
15. Carder
27. Verkehr
3. SOCKS Proxy
16. Social Engineering
28. SEO
4. VPN
17. Konten-Hacking
29. Geld-Pläne
5. PPI
18. Wiederverkauf von
Dokumenten-Scans
30. Web Shell
6. Programmierung
7. DDoS-Services
8. Spam
9. C&C
10. Antivirus (AV)-Check
11. Geldwäsche
12. File Transfer Protocol
13. Trojaner
19. Missbrauchs-Services
20. SMS-Betrug
21. Ransomware
22. Verschleierung
23. Serials
24. Exploit
25. iMoney
31. Datenbank
32. Remote Access Tool (RAT)
33. Online-Spielekonten
34. Jabber
35. Android-APK-Entwicklung
36. Fake APK Software
37. Mobilverkehr
38. Mobiler Betrug
gocvv.cc-Unterdatenbanken,
nach politischen Führern benannt
Datenbank
Spitzname
Anzahl der Kreditkarten
Gültig
grotewohl
thebest
amato
krone
garfield
thebest
peel
usafucker
899
86.46%
kiesinger
thebest
302
85.73%
chamberlain
thebest
214
85.61%
compton
thebest
294
85.60%
luther
thebest
115
84.70%
holles
thebest
87
84.44%
caprivi
thebest
422
83.71%
harding
thebest
788
83.28%
jenkinson
thebest
1,132
82.89%
adenauer
thebest
385
82.86%
russell
thebest
55
82.73%
erhard
thebest
1,995
82.62%
taft
thebest
614
81.92%
perceval
thebest
110
81.54%
arthur
thebest
3,074
81.52%
bauer
thebest
54
81.29%
erdogan
berkut
65,565
80.97%
bruning
texasranger
4,775
80.88%
lukashenko
thebest
1,372
80.23%
goria
thebest
1,281
79.44%
bannerman
thebest
637
79.27%
north
thebest
121
79.11%
modrow
thebest
26
79.09%
michaelis
thebest
1,043
79.04%
polk
thebest
3,865
78.88%
andreotti
thebest
210
78.72%
hertling
thebest
855
78.39%
kennedy
thebest
698
78.32%
cuno
thebest
461
78.27%
grant
thebest
16,723
77.89%
law
texasranger
2,343
77.61%
letta
godzilla
106
77.38%
pierce
thebest
1,877
77.35%
cleveland
thebest
1,838
77.28%
morales
thebest
2,596
77.26%
baden
thebest
377
77.23%
dalema
wizard
2,305
77.13%
grey
thebest
1,601
76.79%
temple
thebest
775
76.49%
934
87.55%
56
87.41%
239
86.82%
Datenbank
Spitzname
Gültig
truman
thebest
676
76.36%
walpole
thebest
206
76.32%
addington
thebest
4,308
76.29%
prodi
thebest
36
76.02%
macmillan
thebest
515
75.70%
sindermann
thebest
209
75.69%
stoph
thebest
183
75.61%
fehrenbach
thebest
137
75.21%
fitzmaurice
thebest
12,821
74.81%
bentinck
thebest
554
74.58%
harrison
thebest
410
74.58%
rudd
thebest
2,301
74.31%
mitterrand
thebest
3,676
74.15%
marx
ne0
525
74.11%
buchanan
thebest
748
73.89%
lamb
wizard
1,127
72.97%
heath
thebest
2,584
72.55%
johnson
thebest
1,154
72.42%
ciampi
texasranger
574
72.32%
baldwin
texasranger
213
71.80%
andropov
thebest
598
71.67%
dini
pipedream
330
71.60%
brandt
thebest
352
71.52%
walesa
thebest
425
71.20%
douglas-home
thebest
672
71.19%
coolidge
thebest
235
70.85%
schroder
thebest
2,014
70.85%
khamenei
jsilver
138
70.66%
devonshire
thebest
625
70.38%
macdonald
thebest
1,341
70.17%
lincoln
thebest
1,017
70.14%
ford
thebest
203
70.12%
mckinley
thebest
8,789
69.94%
stresemann
thebest
468
69.54%
ebert
thebest
482
69.36%
fillmore
thebest
349
69.27%
brezhnev
thebest
682
68.85%
schwerin
thebest
1,828
68.48%
de gaulle
thebest
1,443
68.38%
khrushchev
thebest
147
68.06%
hitler
thebest
796
66.57%
goebbels
thebest
662
66.16%
disraeli
thebest
3,290
65.95%
franklin
optimus
80,931
65.54%
Datenbank
Spitzname
Gültig
asquith
thebest
53
65.51%
blair
thebest
289
65.22%
derby
thebest
211
64.95%
balfour
thebest
472
64.71%
buren
thebest
516
64.30%
major
thebest
456
64.30%
primrose
thebest
1,579
63.99%
grafton
optimus
25
63.70%
taylor
thebest
722
62.90%
salisbury
thebest
1,262
62.41%
hollweg
krone
1,536
62.39%
callaghan
thebest
154
61.75%
aberdeen
thebest
713
60.89%
koutchma
thebest
28,297
60.71%
mussolini
thebest
111
60.41%
wilson
thebest
913
60.34%
renzi
thebest
1,474
59.69%
chavez
long
209
59.55%
grenville
thebest
567
59.22%
churchill
thebest
361
58.68%
chlodwig
thebest
483
58.45%
brown
thebest
1,028
58.24%
silva
thebest
1,024
58.16%
pitt
thebest
604
57.69%
hayes
optimus
3,735
56.60%
papen
thebest
433
56.43%
eden
thebest
841
56.12%
clinton
thebest
6,762
55.53%
haase
thebest
4,123
55.03%
cameron
thebest
265
53.86%
bolivar
thebest
3,493
52.37%
chernenko
thebest
348
52.05%
bulow
thebest
1,757
51.89%
carter
optimus
4,955
50.19%
merkel
thebest
230
49.14%
wirth
qwer
90
48.95%
jinping
optimus
8,079
35.18%
Referenzen
1.
Max Goncharov. (2012). Trend Micro Security Intelligence. “Russian Underground 101.”
http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-russianunderground-101.pdf
2. Max Goncharov (2014), Trend Micro Security Intelligence “Russischer Untergrund - Neuauflage”,
http://www.trendmicro.de/media/wp/russischer-untergrund-whitepaper-de.pdf
3. TrendLabs (2013), Trend Micro Security Intelligence, “Verschwommene Grenzen: Trend Micros
Sicherheitsvorhersagen für 2014 und darüber hinaus ”
http://www.trendmicro.de/media/misc/trend-micro-predictions-for-2014-and-beyond-de.pdf
4. Max Goncharov (2015), Trend Micro Forschung und Analyse, “Unterschlupf für Cyberkriminelle zu vermieten:
Bulletproof Hosting Services”,
http://www.trendmicro.de/media/wp/wp-criminal-hideouts-for-lease-de.pdf
5. Bill Hardekopf (14. Januar 2015), Forbes, “The Big Data Breaches of 2014”,
http://www.forbes.com/sites/moneybuilder/2015/01/13/the-big-data-breaches-of-2014/
6. Trend Micro (7. Oktober 2014), TrendLabs Security Intelligence Blog, “No Honor Among Thieves: Beware the
Lampeduza Scam”
http://blog.trendmicro.com/trendlabs-security-intelligence/no-honor-among-thieves-beware-the-lampeduzascam/
7. Steven Levy (1984), “Hackers: Heroes of the Computer Revolution”
8. Trend Micro (20. Januar 2015), TrendLabs Security Intelligence Blog, “Hacktivist Group CyberBerkut Behind
Attacks on German Official Websites”
http://blog.trendmicro.com/trendlabs-security-intelligence/hacktivist-group-cyberberkut-behind-attacks-ongerman-official-websites/
E r s te l l t v o n :
T h e G l o b a l Te c h n i c a l S u p p o r t a n d
R & D C e n te r o f T R E N D M I C R O.
TREND MICRO Deutschland GmbH
Zeppelinstrasse 1
85399 Hallbergmoos
Germany
Tel. +49 (0) 811 88990–700
Fax +49 (0) 811 88990–799
Über Trend Micro TM
Trend Micro, der international führende Anbieter für Cloud-Security, ermöglicht
Unternehmen und Endanwendern den sicheren Austausch digitaler Informationen.
Als Vorreiter bei Server-Security mit mehr als fünfundzwanzigjähriger Erfahrung
bietet Trend Micro client-, server- und cloud-basierte Sicherheitslösungen an.
Diese Lösungen für Internet-Content-Security und Threat-Management erkennen
neue Bedrohungen schneller und sichern Daten in physischen, virtualisierten und
Cloud-Umgebungen umfassend ab. Die auf der Cloud-Computing-Infrastruktur
des Trend Micro Smart Protection Network basierenden Technologien, Lösungen
und Dienstleistungen wehren Bedrohungen dort ab, wo sie entstehen: im Internet.
Unterstützt werden sie dabei von mehr als 1.000 weltweit tätigen SicherheitsExperten. Trend Micro ist ein transnationales Unternehmen mit Hauptsitz in Tokio
und bietet seine Sicherheitslösungen über Vertriebspartner weltweit an.
http://www.trendmicro.de/
http://blog.trendmicro.de/
http://www.twitter.com/TrendMicroDE
TREND MICRO Schweiz GmbH
Schaffhauserstrasse 104
8152 Glattbrugg
Switzerland
Tel. +41 (0) 44 82860–80
Fax +41 (0) 44 82860–81
TREND MICRO (SUISSE) SÀRL
World Trade Center
Avenue Gratta-Paille 2
1018 Lausanne
Switzerland
www.trendmicro.com
©2015 Trend Micro Incorporated. Alle Rechte vorbehalten. Trend Micro und das Trend Micro T-Ball-Logo sind Marken oder eingetragene Marken von
Trend Micro Incorporated. Alle anderen Firmen- oder Produktnamen sind Marken oder eingetragene Marken ihrer jeweiligen Eigentümer.

Russland - Trend Micro

Transcription

Documents pareils

Aufbauanleitung Kaminholzregal

FAQ (Frequently Answered Questions) Flexstone

Wi Bodenbeschichtung-Flüssigkunststoff

Trend Micro warnt vor gefälschten Google-Play

Im Labyrinth der pelzigen Gorgonzola-Gnome

Hessenpark Neu-Anspach - Hessisches Landesamt für Naturschutz

Praxismerkblatt 3084

können Sie ein Merkblatt zur Verklebung Ihrer Fototapete Premium

Fassadengestaltung

Technisches Merkblatt Die weiße Dämmplatte EPS 035