Ein Bericht über den russischsprachigen Cyberuntergrund.
Dreieinhalb Jahre haben die Experten des Computer Incidents Investigation Department (CIID) [1] von Kaspersky Lab an einer Analyse von über 330 Cybersicherheitsvorfällen gearbeitet. Dabei ging es um Angriffe gegen den öffentlichen und den privaten Bereich, die alle vom russischsprachigen Raum aus gesteuert wurden. Die Ergebnisse hat Kaspersky Lab in der Studie »The Russian cybercrime underground: How it works« [2] veröffentlicht. Die Studie von Kaspersky Lab bietet tiefe Einblicke in die Struktur und Funktionen der Mitglieder einer typischen Bande russischer Cyberkrimineller. Sie beschreibt die Art der im Untergrund angebotenen »Dienstleistungen« und beziffert die dadurch entstandenen Schäden.
Angriffe und Schäden. Bei 95 Prozent der untersuchten Angriffe wurde Schadsoftware verwendet, die auf Vermögenswerte der Opfer abzielt. Die Attacken wurden weltweit, oftmals erfolgreich durchgeführt und dauern teilweise noch an. Auch Deutschland ist davon betroffen.
Von 2012 bis 2015 konnten die Strafverfolgungsbehörden verschiedener Länder mehr als 160 Personen aus Russland und seinen Nachbarstaaten festnehmen. Alle wurden der Cyberkriminalität im Finanzbereich verdächtigt. Der geschätzte Schaden beläuft sich auf 790 Millionen US-Dollar. Mit den verursachten Schäden der noch nicht festgesetzten Carbanak-Bande [3] kommt man auf über 1,7 Milliarden US-Dollar.
Die Experten von Kaspersky Lab schätzen, dass fast 1.000 Cyberkriminelle aus Russland und seinen Nachbarstaaten in Angriffe involviert waren. Geführt wurden sie von mutmaßlich weniger als 20 Bandenchefs, die mehrheitlich noch nicht gefasst werden konnten.
Angebotsportfolio. Im russischsprachigen Cyberuntergrund werden diverse Produkte und Dienstleistungen verkauft. Die Bezahlung erfolgt in der Regel mit Hilfe eines elektronischen Bezahlsystems, beispielsweise mit Bitcoins. Kombiniert man das reichhaltige Angebotsportfolio mit den gebuchten Cyberattacken lassen sich folgende Arten von Cyberverbrechen auflisten:
- DDoS-Attacken
- Diebstahl persönlicher Daten sowie Informationen für den Zugriff auf elektronisches Geld
- Gelddiebstahl von Bankkonten oder Konten anderer Organisationen
- Spionage, privat oder von Unternehmen
- Cybererpressung: Blockieren des Zugriffs auf die Daten eines infizierten Computers
Verschiedene Organisationsformen. Die kriminellen Gruppen, die sich auf den Diebstahl von Geld oder von Finanzinformationen spezialisiert haben, unterscheiden sich in der Zahl der Bandenmitglieder und dem Ausmaß ihrer Tätigkeit.
Der Money flow manager transferiert Gelder von attackierten Finanzkonten auf die Konten, die vom Money mules manager zur Verfügung gestellt wurden. Der Money mules manager instruiert die Money mules wohin sie von ihren Konten aus das Geld hin überweisen sollen. Ein Teil des gestohlenen Geldes bekommt der Chef der Money mules services, der Rest wird dem großen Boss der kriminellen Gruppe übertragen, der dann die anderen Beteiligten entlohnt.
Partnerprogramme sind die einfachste Art, um in cyberkriminelle Aktivitäten verstrickt zu werden. Das Wesen von Partnerprogrammen liegt darin, dass ihre Organisatoren ihren Partnern praktisch das gesamte Instrumentarium zur Verfügung stellen, das für die Durchführung eines Cyberverbrechens notwendig ist. Die Aufgabe der Partner besteht darin, so viele Malware-Installationen wie möglich auf den Geräten der Anwender zu generieren. Im Gegenzug teilt der Betreiber des Partnerprogramms die infolge der Infektionen erhaltenen Einnahmen mit den Partnern.
Kleine Gruppen: Dazu gehören Einzeltäter und kleine beziehungsweise mittlere Gruppierungen mit bis zu zehn Mitgliedern. In der Regel organisieren die Kriminellen das Betrugsschema selbst. Die meisten für die Attacken benötigten Komponenten, wie Schadprogramme und deren Modifikationen, Traffic und Server, werden auf dem Schwarzmarkt besorgt. Die Mitglieder solcher Gruppen sind meist keine Experten auf dem Gebiet der Computer- und Netzwerktechnologien, sie erlangen ihr Wissen in der Regel über Foren.
Große kriminelle Gruppen können mehrere Dutzend Personen umfassen. Die Ziele ihrer Attacken beschränken sich nicht nur auf Internet-Banking-Kunden. Neben privaten Nutzern greifen diese Gruppen vorzugsweise kleine und mittelständische Unternehmen an, aber die größten und technisch anspruchsvollsten unter ihnen wie zum Beispiel Carbanak überfallen auch Banken und Bezahlsysteme. In großen Gruppen gibt es Komplizen, die gegen ein regelmäßiges, festes Honorar die Aufgaben eines Organisators übernehmen. Dabei wird selbst in einer großen, professionellen Verbrechergruppe ein Teil der Aufgaben »outgesourct«. Große Banden sind professionell organisiert. Es gibt eine klare Rollenverteilung, mit der die Geschäfte umgesetzt werden können. Wichtige Abteilungen großer Banden sind: Virenautoren/Programmierer, Layouter/Webdesigner, Verbreiter, Hacker oder Systemadministratoren. Wie bei legalen Geschäften wird das Ganze über einen Call Service für die Kunden abgerundet.
Professionelle Security gegen professionelle Attacken. Gerade Unternehmen sollten auf die zunehmende Professionalisierung des russischen, aber auch generell des globalen Cyberuntergrunds mit dem Einsatz professioneller Cybersicherheitsansätze kontern. Grundsätzlich werden Unternehmensnetzwerke über die Implementierung robuster Sicherheitsprozesse sowie den Einsatz von mehrschichtigen Sicherheitstechnologien für alle im Unternehmen eingesetzten Endpoints geschützt. Gerade größere Unternehmen sollten aufgrund der zunehmenden Komplexität von Cyberangriffen ihren Sicherheitsansatz um Security Intelligence Services [4] ergänzen. Denn Dienstleistungen wie Mitarbeiterschulungen, Audits, Malware- oder Vorfalluntersuchungen sowie speziell auf ein Unternehmen zugeschnittene Cybersecurity-Reports erweitern den Schutzwall der firmeneigenen Security.
Holger Suhl,
General Manager DACH
bei Kaspersky Lab