Schlag gegen Kriminelle bringt neue Erkenntnisse zum Angler-Exploit-Kit

Sie griffen mit dem Exploit-Kit bis zu 90.000 Nutzer pro Tag an. Dazu nutzten sie eine geschickt aufgesetzte Proxy-Server-Architektur. Deren Anzahl wurde jetzt deutlich dezimiert. Sie standen vor allem beim provider Lmestone Networks, aber auch bei Hetzner in Deutschland.
Cisco hat die Aktivitäten einer Hackergruppe Eindämmen können, die mittels des Angler-Exploit-Kits und zahlreichen Proxy-Servern täglich rund 90.000 Nutzer erfolgreich angriffen und damit pro Jahr einen Umsatz von bis zu 30 Millionen Dollar erzielt haben sollen. Sie nutzten mit dem Exploit-Kit in erster Linie Schwachstellen in Adobe Flash und Internet Explorer aus und brachten so Erpressersoftware auf die Rechner der Opfer.
Ciscos Sicherheitssparte Talos Group ist es eigenen Angaben zufolge gelungen, Sicherheitslücken zu schließen, die ausgenutzt wurden, um Anwender auf Proxy-Server der Kriminellen umzuleiten. Die Proxy-Server wurden von 17 Providern gehostet, darunter auch den deutschen Anbieter Hetzner.
“Auch wenn Hetzner und Limestone Networks die wichtigsten Angler-Quellen waren, Limestone war der größte Provider. Im Juli hostete Limestone mehr als ein Drittel der IP-Adressen, über die Angler verbreitet wurde”, so die Cisco-Experten. Die Gruppe, gegen die Cisco jetzt erfolgreich vorgegangen ist, war allerdings nur für rund 50 Prozent der Aktivitäten mit dem Angler-Exploit-Kit verantwortlich.
In Zusammenarbeit Limestone haben die Cisco-Forscher den Datenverkehr der Angler-Proxy-Server ausgewertet und dabei neue Erkenntnisse über Angler gewonnen. “Angler nutzt eine Proxy/Server-Konfiguration. Es gibt einen Exploit-Server, der für die Verbreitung der schädlichen Aktivitäten über mehrere Proxy-Server verantwortlich ist. Der Proxy-Server ist das System, mit dem Nutzer kommunizieren, was es den Tätern erlaubt, sich schnell anzupassen, während sie ihren Exploit-Server vor einer Entdeckung schützen.”
Darüber hinaus überwache ein Health-Server das gesamte System und sammle Informationen über infizierte Host-Computer. Einer dieser Health-Server habe im Juli 147 Proxy-Server kontrolliert und einen Umsatz von mehr als 3 Millionen Dollar generiert. Die Server hätten die Hacker mit gestohlenen Kreditkarten gekauft, heißt es weiter in dem Blogeintrag.
Das Angler-Exploit-Kit wurde in den vergangenen Monaten auch bei zwei groß angelegten Malvertising-Kampagnen verwendet. Dabei wurden einmal über das Anzeigennetzwerk von Yahoo und das andere Mal über das der Google-Tochter Doubleclick Anzeigen ausgeliefert, die zu infizierten Websites verwiesen und auf denen sich Nutzer dann Schadsoftware einfingen.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.