North American Underground: The Glass Market
Transcription
North American Underground: The Glass Market
Der nordamerikanische Untergrund Das gläserne Becken Kyle Wilhoit und Stephen Hilt Forward-Looking Threat Research (FTR) Team TrendLabsSM Forschungspapier HAFTUNGSAUSSCHLUSS Die in diesem Dokument bereitgestellten Informationen sind lediglich allgemeiner Natur und für Aufklärungszwecke gedacht. Sie stellen keine Rechtsberatung dar und sind nicht als solche auszulegen. Die in diesem Dokument bereitgestellten Informationen finden womöglich nicht auf alle Sachverhalte Anwendung und spiegeln womöglich nicht die jüngsten Sachverhalte wider. Die Inhalte in diesem Dokument sind ohne eine Rechtsberatung auf der Grundlage der vorgestellten besonderen Fakten und Umstände nicht als verlässlich oder als Handlungsanweisungen zu verstehen und nicht in anderer Weise auszulegen. Trend Micro behält sich das Recht vor, die Inhalte dieses Dokuments zu jeder Zeit und ohne Vorankündigung zu ändern. Übersetzungen in andere Sprachen sind ausschließlich als Unterstützung gedacht. Die Genauigkeit der Übersetzung wird weder garantiert noch stillschweigend zugesichert. Bei Fragen zur Genauigkeit einer Übersetzung lesen Sie bitte in der offiziellen Fassung des Dokuments in der Ursprungssprache nach. Diskrepanzen oder Abweichungen in der übersetzten Fassung sind nicht bindend und haben im Hinblick auf Compliance oder Durchsetzung keine Rechtswirkung. Trend Micro bemüht sich in diesem Dokument im angemessenen Umfang um die Bereitstellung genauer und aktueller Informationen, übernimmt jedoch hinsichtlich Genauigkeit, Aktualität und Vollständigkeit keine Haftung und macht diesbezüglich keine Zusicherungen. Sie erklären Ihr Einverständnis, dass Sie dieses Dokument und seine Inhalte auf eigene Gefahr nutzen und sich darauf berufen. Trend Micro übernimmt keine Gewährleistung, weder ausdrücklich noch stillschweigend. Weder Trend Micro noch Dritte, die an der Konzeption, Erstellung oder Bereitstellung dieses Dokuments beteiligt waren, haften für Folgeschäden oder Verluste, insbesondere direkte, indirekte, besondere oder Nebenschäden, entgangenen Gewinn oder besondere Schäden, die sich aus dem Zugriff auf, der Verwendung oder Unmöglichkeit der Verwendung oder in Zusammenhang mit der Verwendung dieses Dokuments oder aus Fehlern und Auslassungen im Inhalt ergeben. Die Verwendung dieser Informationen stellt die Zustimmung zur Nutzung in der vorliegenden Form dar. Inhalt 4 Waren im nordamerikanischen Untergrund 27 Die Zukunft des nordamerikanischen Untergrunds 29 Anhang Der cyberkriminelle Untergrund in Nordamerika steht jedem offen, und das schon eine ganze Weile. Anders als der Untergrund in anderen Ländern oder Regionen der Welt schränkt der nordamerikanische Untergrund den Zutritt nicht ein. Auch Neulinge sind dort willkommen, und cyberkriminelle Aktivitäten werden gefördert. Der Zugang zu vielen Untergrund-Sites ist einfach, denn die Sites sind im so genannten „Oberflächen-Web“ (im Gegensatz zum Deep Web) zu finden. Damit locken sie immer mehr Menschen auf ihre unterschiedlichen Foren und Marktplätze. Jeder, der die richtige Suchanfrage stellt, kann darauf zugreifen. Bereits die einfache Suche nach Anleitungen zur Cyberkriminalität (zur Nutzung von Virtual Private Networks [VPNs] oder The Onion Router [TOR]) kann zu entsprechenden Foren führen. Die Konkurrenz im nordamerikanischen Untergrund ist hart. Mit den Jahren haben einige Anbieter ihr Portfolio einander weitgehend angeglichen und damit die Preise gedrückt. Das hat sich für Neulinge in Sachen Cyberkriminalität, die mit limitiertem Budget auf Schnäppchensuche waren, sehr positiv ausgewirkt. Dieser offene Untergrund bietet eine große Vielfalt an illegalen Waren. Neben der üblichen Crimeware und Daten-Dumps, die es in anderen Märkten auch gibt, umfasst der nordamerikanische Untergrund eine breite Palette von Waren und Diensten etwa für physischen Betrug und Mord. Diese Offerten könnten auch das Ergebnis der gebotenen Anonymität sein, die nach Ansicht der Marktteilnehmer durch die virtuellen Währungen gewährleistet ist. Entwickelt sich der offenere nordamerikanische Untergrund besser als die versteckten und exklusiveren Cyber-Untergrundmärkte in anderen Regionen? Ist Offenheit das Geheimnis für mehr Geschäft? Oder wird diese Offenheit den Markt direkt auf den Radarschirm der Polizeibehörden rücken? Dieser Untergrund ist kein abgesperrter Raum, der nur den technisch versierten Hackern zugänglich ist. Er ist eher ein gläsernes Becken, das sowohl für Cyberkriminelle als auch für Polizeibehörden sichtbar ist. Cyberkriminelle Aktivitäten werden wie ein reguläres Geschäft betrieben. Einige Waren und Dienste werden offen in Oberflächen-Webforen und sogar auf Sites wie YouTube beworben, um mehr Kunden anzuziehen. Die Transparenz erzeugt ein Paradoxon, denn diese Freiheit, die der Untergrund erlaubt, fördert eine rege Cyberkriminalität – und das unter den wachsamen Augen der Polizeibehörden, die jederzeit dem Befehl zur Schließung folgen können. ABSCHNITT 1 Waren im nordamerikanischen Untergrund Waren im nordamerikanischen Untergrund Der nordamerikanische Untergrund bedient vor allem Kunden innerhalb der USA und Kanadas. Die meisten Angebote (gestohlene Konten, Produkte und Services sowie gefälschte Dokumente) stammen aus den USA. Diese Tatsache entspricht auch dem, was die Forscher im japanischen1 und brasilianischen2 Untergrund gefunden haben. Daraus lässt sich schließen, dass US-bezogene Informationen am meisten gefragt sind. Trend Micros Sicherheitsforscher teilten die Waren und Dienstleistungen in drei große Gruppen – Crimeware, gestohlene Daten-Dumps und gefälschte Dokumente sowie Drogen und Waffen. Crimeware Hacking Tools Die Forscher fanden einige nordamerikanische Foren, die nur Hacking Tools verkaufen. Diese Waren gelten als Basisgüter in jedem Untergrundmarkt – Keylogger, Spamming Tools, Remote Access Tools (RATs) und Botnets. Bild 1: HawkEye, ein Keylogger, wird für 1 - 4 $ verkauft 5 | Der nordamerikanische Untergrund – Das gläserne Becken Bild 2: RATs, Verschlüsselungsdienste, sogar Botnets und Silk Road 3.0-Zugriffsanleitungen gibt es in Hülle und Fülle In den meisten Fällen umfasst der Kauf von Schadsoftware auch technischen Support durch deren Entwickler. Den Xena RAT Builder beispielsweise gibt es mit zwei verschiedenen Service-Paketen – Silber und Gold. Das Gold-Paket beinhaltet Verschlüsselungsdienste, um sicherzustellen, dass die Malware, die mit dem Kit erstellt wird, auch nicht zu entdecken ist. 6 | Der nordamerikanische Untergrund – Das gläserne Becken Bild 3: Xena RAT Silber- und Gold-Paket Bild 4: YouTube-Video, das die verschiedenen Fähigkeiten von Xena vorführt 7 | Der nordamerikanische Untergrund – Das gläserne Becken Angebot Preis Keylogger 1-4$ Xena RAT builder 1 - 50 $ Exploit 1+ $ (abhängig von der Komplexität) Botnet und/oder botnet builder Worm 5 - 200 $ 7–15 $ Ransomware 10 $ Betabot DDoS tool 74 $ Tabelle 1: Häufig im nordamerikanischen Untergrund anzutreffende Crimeware BPHSs Jedes cyberkriminelle Unternehmen stützt sich auf Bulletproof Hosting Services (BPHSs)3, um den Betrieb reibungslos und unbemerkt abwickeln zu können. BPHS-Anbieter erlauben es Nutzern, alles zu speichern, einschließlich bösartiger Inhalte wie Phishing Sites, pornografischen Materials oder auch Command-and-Control (C&C)-Infrastruktur. Ohne Hilfe der BPHSs mit ihren legalen Geschäftsfassaden wären viele cyberkriminelle Gruppen nicht handlungsfähig. Es gibt viele unterschiedliche BPHS-Angebote im nordamerikanischen Untergrund. Auf die Wünsche der Kunden zugeschnittene BPHS-Offerten sind für 75 $ pro Monat verfügbar. Geboten wird dafür eine einzige IP-Adresse sowie 100 GB Plattenplatz auf einer Maschine mit 2 GB RAM. Einen solchen Basiszugriff auf einen Bulletproof-Server erhält man aber auch schon für nur 3 $ pro Monat. Bild 5: Werbung für einen auf Kunden zugeschnittenen BHPS für 75 $ pro Monat 8 | Der nordamerikanische Untergrund – Das gläserne Becken Bild 6: Werbung für einen in Russland angesiedelten BHPS-Provider, der seine Erfolge beim Hosting von Botnets, RATs, Spamming Tools, Betrugsforen und Pornoinhalte anpreist Bild 7: Post eines Nutzers, der einen BPHS-Provider sucht Crypting Services Crypting Services, die wohl derzeit am meisten gesuchte Crimeware im nordamerikanischen Untergrund, helfen, die Erstellungsdaten von Schadsoftware-Binaries und weitere bösartige Komponenten zu verbergen. Kunden müssen dafür lediglich ihre Schadsoftware an den Dienstanbieter schicken, der sie gegen alle verfügbaren Standard-Antimalware-Werkzeuge testet. Der Provider prüft, wie viele Produkte den Code als „bösartig“ kennzeichnen. Danach verschlüsseln sie die Malware, so oft es nötig ist, bis diese nicht mehr erkannt wird. Die Angebote für Crypting-Dienste variieren, doch die meisten Anbieter verschlüsseln Dateien, die unter anderem auf Windows® XP, 7 und 8 sowie Windows Server 2003 und 2008 laufen sollen. Sie sind im Allgemeinen preisgünstig, und Kriminelle, die sie in Mengen kaufen, erhalten sogar Preisnachlässe. Zu den typischen Kunden gehören diejenigen, die nach kosteneffizienten Möglichkeiten suchen, die Entdeckung durch Antimalware-Firewalls sowie Intrusion Detection and Prevention Systems (IDSs/IPSs) zu vermeiden. 9 | Der nordamerikanische Untergrund – Das gläserne Becken Bild 8: Angebot einmaliger, täglicher, wöchentlicher und monatlicher Crypting Services, die einen API-Support einschließen und zwischen 8 $ pro Datei und 1.000 $ pro Monat mit uneingeschränkter Dateinutzung kosten VPNs und Proxies VPNs und Proxies gehören zu den essenziellen Werkzeugen für Cyberkriminelle, denn sie stellen die beste Möglichkeit dar, kriminelle Kommunikation zu verbergen und Identitäten zu anonymisieren. VPNs verschlüsseln alle innerhalb dieses Netzwerks gesendeten und ankommenden Daten, während Proxy-Server den Verkehr von einer IP-Adresse auf eine andere umleiten, um von der tatsächlichen Quelle der Daten abzulenken. VPNs und Proxies unterstützen somit anonyme Verbindungen und Kommunikation. Die meisten Kriminellen, die vollkommene Anonymität suchen, befürchten, dass VPN Service Provider ihre Kontoaktivitäten nachverfolgen und loggen könnten. Deshalb gibt es anonyme VPN- oder ProxyServerzugänge zu einem durchschnittlichen Preis von 102 $ pro Jahr. Bild 9: VPN-Zugriff über Plattformen hinweg mit uneingeschränkter Bandbreite und garantiert ohne Aktivitäts-Logging 10 | Der nordamerikanische Untergrund – Das gläserne Becken DDoS-Angriffe oder Web-Stressdienste Distributed Denial-of-Service (DDoS)- oder Web-Stressangriffe sind im Arsenal der Cyberkriminellen weit verbreitet. DDoS-Angebote gibt es zu relativ niedrigen Preisen. Bild 10: Im nordamerikanischen Untergrund sind verschiedene DDoS-Angriffe und Web-Stressing-Dienste zu haben Premium Web Stress-Services werben mit Kapazitäten für DDoS-Verkehrsangriffe von bis zu 300 GBps. Bild 11: Pakete für DDoS-Angriffsdienste im nordamerikanischen Untergrund 11 | Der nordamerikanische Untergrund – Das gläserne Becken Bild 12: Post, der Beweise für die Fähigkeiten des DDoS-Angriffsdienstes eines Providers veröffentlicht Angebot Preis 40 GBps für 300 Sekunden 5$ 70GBps für 300 Sekunden 9$ 40GBps für 2.700 Sekunden 25 $ 125GBps für 300 Sekunden 25 $ 70GBps für 7.200 Sekunden 30 $ 125GBps für 2.000 Sekunden 60 $ Tabelle 2: DDoS-Angriffs- und Web-Stress-Dienste im nordamerikanischen Untergrund Zugang zu kompromittierten Sites Ein häufig anzutreffendes Angebot im nordamerikanischen Untergrund sind Zugänge zu kompromittierten Sites, einschließlich via Remote Desktop Protocol (RDP). Die Preise für solche Dienste variieren, abhängig vom Typus. Verkäufer bieten Zugriff auf eine einzelne oder mehrere kompromittierte Sites, aber auch vollständigen Root-Zugang zu Servern. Cyberkriminelle nutzen häufig kompromittiere Sites oder Server, um Schadsoftwae zu verteilen. Die Sites oder Server fungieren als Sprungbrett-Proxies für den Launch von Angriffen auf die gewählten Sites oder Server. 12 | Der nordamerikanische Untergrund – Das gläserne Becken Bild 13: Cpanel kosten 4 - 10 $ und werden für den RDP-Zugriff genutzt; bei Anpassung an das Betriebssystem und Ländereinstellungen des Käufers sind es 20 $ RDP-Zugriffswerkzeuge kosten im Allgemeinen 10 – 25 $, je nach gewünschtem Zielbereich, Opfertypus und den Zugriffsrechen. Zugang zu gehackten Site-Managementportalen (Cpanel) kosten zwischen 3 - 5 $. Gestohlene Daten-Dumps und gefälschte Dokumente Gestohlene Zugangsdaten für Kreditkarten und Klone Cyberkriminelle wählen den Untergrund, wenn sie gestohlene Daten zu Geld machen wollen. Hier verkaufen sie Informationen wie Zugangsdaten für Kreditkarten. Dies sind jedoch nicht die einzigen angebotenen Waren in Verbindung mit Kreditkarten. Klone oder Kopien gestohlener Kreditkarten gibt es dort ebenfalls in Hülle und Fülle, dennoch ließ sich kein Post zu Details finden, wie sie verwendet werden. Die Käufer jedenfalls bevorzugen Kreditkartenzugangsdaten anstelle von Klonen, denn letztere bergen die Gefahr, damit in flagranti erwischt zu werden. Die Angebote rund um Kreditkarten haben unterschiedliche Preise, je nach Zuverlässigkeit, Anonymität (vor, während und nach dem Verkauf), dem ausstellenden Land sowie dem Kreditlimit. Die meisten angebotenen Waren wurden in den USA, in Kanada oder in einem europäischen Land ausgestellt. 13 | Der nordamerikanische Untergrund – Das gläserne Becken Bild 14: Werbung für Angebote rund um Kreditkarten in einem beliebten Marktplatz Angebot Preis Klassische Zugangsdaten zu US-Kreditkarten 19 - 22 $ (100 Sets) Gold, Platinum oder Business USKreditkarten-Zugangsdaten Klassische Zugangsdaten zu kanadischen Kreditkarten Gold, Platinum oder KreditkartenZugangsdaten aus Kanada Gefälschte US-Kreditkarten (physisch) 36 - 42 $ (50 Sets) 47 - 50 $ (40 Sets) 50 - 65 $ (35 Sets) 210 - 874 $ Tabelle 3: Angebote rund um Kreditkarten im nordamerikanischen Untergrund Europay, MasterCard und Visa (EMV)-Karten mit Standard- oder Chip- und persönlicher Identifikationsnummer (PIN) (Technologie wurde kürzlich zum europäischen, US- und kanadischen Standard erklärt) sowie damit zusammenhängende Waren sind häufig anzutreffende Angebote. Sie sind mit 30 - 40 $ teurer als normale (Nicht-EMV und Nicht-PIN) Karten. 14 | Der nordamerikanische Untergrund – Das gläserne Becken Bild 15: Nutzer, die Kartenpakete (mehr als 20) kaufen mit Kontoständen von 800 - 1.300 $ für Europa und USA erhalten Rabatte. Bild 16: Angebot von Verkäufern gestohlener Kreditkarteninformationen In kreditkartenbezogenen Angeboten wird oft ein Haftungsausschluss angefügt: Nicht alle Zugangsdaten in einem Dump werden funktionieren. Nutzern, die beispielsweise 100 Datensätze kaufen, wird die Verwendung von mindestens 15 funktionierenden Karten garantiert. 15 | Der nordamerikanische Untergrund – Das gläserne Becken Zugangsdaten zu Online-Konten Auch gibt es eine Fülle an gestohlenen Zugangsdaten für Online-Konten. Cyberkriminelle hacken Spotifyund Netflix-Konten, um den Zugang dazu zu verkaufen. Damit können Nutzer die von ihnen gewünschten Dienste für einen Bruchteil des legitimen Preises nutzen, solange der Besitzer des kompromittierten Kontos sein Passwort nicht ändert. Bild 17: Zugang zu Netflix-Konto auf Lebenszeit wird für 5 $ angeboten (um 3 - 4 $ billiger als das offizielle Angebot) Der Zugang zu Origin, Spotify und Hulu, zu Beats Music-Konten wird für sehr niedrige Preise angeboten. Diese Offerten werden wahrscheinlich bald verschwinden, weil der Dienst nicht mehr verfügbar ist. Angebot Preis Origin-Kontozugang weniger als 1 $ Spotify-Kontozugang 2$ Beats Music-Kontozugang 2$ Hulu Plus-Kontozugang 4$ NeFlix-Kontozugang 5$ Dish Network Anywhere-Kontozugang 7$ Luminosity-Kontozugang 7$ Verified PayPal-Kontozugang 9$ Sirius Satellite Radio-Kontozugang 15 $ Tabelle 4: Angebote für gestohlene Online-Kontozugänge im nordamerikanischen Untergrund 16 | Der nordamerikanische Untergrund – Das gläserne Becken Interessanterweise wird auch der Zugang zu Konten für nordamerikanische Untergrundforen verkauft. Die meisten Foren sind geschlossene Communities, für die es einer Einladung oder Zugangsgebühr bedarf. Diese Foren filtern die Nutzer, um die Sicherheit der bestehenden Mitglieder zu gewährleisten. Bild 18: Angebot eines Einladungs-Codes zu Agora, einem beliebten Untergrundforum, für 1 $ Bild 19: Angebot des Zugangs zu einer Reihe von Onion Sites für jeweils 1 $ Gefälschte Dokumente Identitätsdiebstahl macht einen großen Teil der nordamerikanischen Untergrundwirtschaft aus. Es geht dabei nicht nur um den Zugang zu den Kreditkarten und Online-Konten von Opfern. Es existiert ein großer Markt für gefälschte Ausweise. Die Käufer (hauptsächlich illegale Ausländer und Kriminelle) suchen im Untergrund nach Dokumenten, die ihre Anträge auf Staatsbürgerschaft oder Kredite unterstützen. Auch sollen sie die Eröffnung eines nicht nachvollziehbaren Bankkontos ermöglichen, ihren Inländerstatus beweisen oder dem Versicherungsbetrug dienen sowie der Identitätskontrolle beim Kauf von manchen illegalen Dingen. 17 | Der nordamerikanische Untergrund – Das gläserne Becken Bild 20: Forum-Angebote für gefälschte Reisepässe Bild 21: Untergrund-Marktplatz für gefälschte Reisepässe aus verschiedenen Ländern 18 | Der nordamerikanische Untergrund – Das gläserne Becken Nachgemachte Dokumente, auch als „hergestellte Dokumente“ bekannt, nutzen üblicherweise die persönlichen Informationen von Toten. Sie werden auch mit den von Käufern gelieferten Informationen erstellt. Angebot Kanadischer Reisepass-Scan Preis 17 - 24 $ UK Reisepass-Scan 28 $ US Reisepass-Scan 30 $ Gefälschte US-Fahrzeugversicherungskarte 38 $ US-Führerschein Scan 145 $ Gefälschter kanadischer Führerschein 630 $ Gefälschter kanadischer Reisepass 670 $ Gefälschter britischer Führerschein 700 $ Gefälschter britischer Reisepass 730 $ Gefälschter US-Führerschein 727 $ Gefälschter US-Reisepass 780 $ Tabelle 5: Gefälschte Dokumente im nordamerikanischen Untergrund (Preise variieren, je nach Qualität des Dokuments und nach der Nationalität des Käufers) Drogen und Waffen Drogen Eines der ursprünglichen Ziele der Foren im nordamerikanischen Untergrund war, den Verkauf von illegalen Drogen und Paraphernalien zu ermöglichen. Die Foren haben sich längst weiterentwickelt, doch sind diese Waren in vielen Foren immer noch zentral. Diejenigen, die in Drogentransaktionen verwickelt sind, hoffen häufig darauf, ihre Anonymität wahren zu können. Daher nutzen viele Untergrundforen verschiedene Codes für das, was sie suchen oder verkaufen. Einige bieten Drogen unter dem Deckmantel von Nahrungsmitteln an. Mit Cannabis-versetzte Erdnussbutter etwa wird in vielen Foren offen beworben. 19 | Der nordamerikanische Untergrund – Das gläserne Becken Bild 22: Forumsangebote für den Verkauf aller Arten von Drogen Der Verkauf von Drogen schließt das Versenden und Empfangen von physischen Waren (im Gegensatz zu virtuellen Waren oder digitalen Informationen) mit ein. Deshalb umfassen die Transaktionen mehrere Schritte, um die Anonymität sowohl des Käufers als auch des Verkäufers zu wahren. 20 | Der nordamerikanische Untergrund – Das gläserne Becken obfuscate main(t,_,a) char* a; {return!0<t? t<3? main(-79,-13,a+ main(-87,1-_, main(-86, 0, a+1 ) +a)): 1, t <_? main(t+1, _, a ) :3, Ein Käufer erwirbt Bitcoins von Sites wie localbitcoins.com. Diese Site macht es nötig, den Bitcoin-Verkäufer physisch zu treffen und zu bezahlen. Der Käufer „wäscht“ die Bitcoins, um ihre Herkunft zu verschleiern. Damit entsteht eine weitere Anonymitätsschicht für Bitcoin-Transakionen. Der Käufer transferiert das Bitcoin-Eigentum an das Untergrundforum oder den Treuhänder seiner Wahl. Der Forumsbesitzer oder Treuhänder übergibt die Bitcoins an den Verkäufer, sobald die Transaktion bestätigt ist. Der Käufer erwirbt dann Drogen über das Forum oder den Treuhänder und lässt die Waren an eine Post Office (PO)-Box oder einen bestimmten Ablageort liefern. Der Ablageort kann ein leerstehendes Haus sein, sodass er die Waren zu einer bestimmten Zeit dort abholen kann, ohne Aufmerksamkeit zu erregen. Bild 23: Beispiel des Ablaufs einer Drogentransaktion („Bitcoin-Mixing” oder „Bitcoin Waschen“ benennt den Prozess der Nutzung des Dienstes eines Dritten, um die Verbindung zwischen der Adresse eines Absenders und Empfängers zu unterbrechen4. Da die Bitcoin Blockchain ein öffentliches Bestandsbuch ist, das jede Transaktion festhält, ist das Mixen von Coins essenziell, um zu verschleiern wohin und woher die Bitcoin gehen bzw. kommen) Neben dem tatsächlichen Drogengeschäft floriert auch der Handel mit gefälschten Rezepten. Die Sicherheitsforscher fanden solche Rezeptfälschungen für Walgreens, CVS und Walmart. Drogenabhängige wollen so ihrer Verhaftung entgehen, falls sie mit Drogen erwischt werden. Bild 24: Gefälschte Rezepte 21 | Der nordamerikanische Untergrund – Das gläserne Becken Angebot Preis “Blue Cheese”-Marijuana 19 $ pro Gramm THC-Ölspray 24 $ pro Behälter Hasch 5 $ pro 5 Gramm Valium 66 $ pro 75 Tabletten Hochqualitatives bolivianisches Kokain 69 $ pro Gramm Methylphenidate (18mg) 70 $ pro 10 Tabletten Clonazepam 71 $ pro 100 Tabletten MMDA 86 $ pro Tablette Fälschungen CVS, Walgreens, oder Roland Rezeptmarken 100 $ pro 3 Marken Methamphetamine 136 $ pro Gramm Afghanisches Heroin 209 $ pro Gramm Tabelle 6: Drogen und damit zusammenhängende Waren im nordamerikanischen Untergrund Auch Anleitungen zur Herstellung von Drogen oder auch die Utensilien dafür gibt es im Untergrund. So etwa kostete eine Anleitung zur Herstellung von Crack 5 $. Bild 25: Anleitung zur Herstellung von Crack 22 | Der nordamerikanische Untergrund – Das gläserne Becken Waffen Das Angebot an Waffen im nordamerikanischen Untergrund reicht von Schlagstöcken bis zu hochleistungsfähigen Gewehren. Die Forscher fanden einen Verkäufer im mittleren Westen der USA, der mit Handfeuerwaffen, Flinten, Gewehren und allen Arten von Munition handelte. Es gibt zudem Foren, die sich auf den Verkauf von Schlagstöcken und allen Arten von Messern spezialisiert haben. Bild 26: Angebote von Taser-Waffen und Schlagstöcken im nordamerikanischen Untergrund Waffenmarktplätze haben häufig ausländische Kontakte und können die Waren auch außerhalb von Nordamerika ausliefern. Ein solcher Verkäufer lieferte über Partner nach Kanada, Australien, Großbritannien, Deutschland und Russland. 23 | Der nordamerikanische Untergrund – Das gläserne Becken Bild 27: Für die Lieferung außerhalb der USA verfügbare Waffen 24 | Der nordamerikanische Untergrund – Das gläserne Becken Bild 28: Eine Waffen-Site, die Feuerwaffen fast in die ganze Welt liefert Die von Trend Micro untersuchten Foren und Marktplätze hatten ähnliche Angebote zu Standardpreisen. Angebot Preis Aerosol Pfefferspray 8 $ pro Dose Ein Paar Schlagringe 18 $ Messer 20 $ Taser-Waffe 30 $ .45ACP-Munition 450 $ pro 1.000 Patronen .30-06 Munition 490 $ pro 1.000 Patronen Beretta 550 $ AK-47 Maschinengewehr 800 $ Handfeuerwaffe mit Schalldämpfer .50 Kaliber Gewehr 1.500 $ 6.500 $ Tabelle 6: Im nordamerikanischen Untergrund angebotene Waffen 25 | Der nordamerikanische Untergrund – Das gläserne Becken Mord auf Bestellung Services für Morde auf Bestellung sind allgegenwärtig im nordamerikanischen Untergrund. Bild 29: Werbung für Mord auf Bestellung Einige dieser Angebote sind differenziert aufgestellt: Je bekannter oder wichtiger das Opfer ist und je größer der angerichtete Schaden, desto teurer ist die Dienstleistung. Bild 30: Angebot eines Mord-Service mit Preisen Viele dieser Sites garantieren ein bestimmtes „Professionalitätsniveau“. Auftragskiller liefern gewisse Garantien für die Wahrung der Anonymität ihrer Kunden. Sie offerieren unterschiedliche „Ausprägungen“, von Zusammenschlagen von Durchschnittspersonen zu 3.000 $ bis zum Mord an öffentlichen Personen zu 180.000 $. 26 | Der nordamerikanische Untergrund – Das gläserne Becken ABSCHNITT 2 Die Zukunft des nordamerikanischen Untergrunds Die Zukunft des nordamerikanischen Untergrunds Die Polizeibehörden in Nordamerika gehen viel rigoroser vor als in anderen Regionen der Welt und verschärfen ihre gesetzlichen Regelungen stetig. Dieses Vorgehen zeigt Erfolge. So konnte die Polizei in Zusammenarbeit mit Trend Micro in diesem Jahr die Botnet-Aktivitäten von DRIDEX5, SIMDA6 und BEEBONE7 abstellen, die vorher als Rückgrat für viele cyberkriminelle Operationen gedient hatten. Trotzdem gibt es immer noch eine dreiste, florierende Untergrundwirtschaft in der Region. Die Offenheit des nordamerikanischen Untergrunds kann auch zu höheren Profiten für Verkäufer sowie zu Marktwachstum führen. Die Zugänglichkeit mag Verkäufern dabei helfen, auf Kosten der höheren Sichtbarkeit mehr Kunden zu akquirieren. Und dies wiederum fördert schnelle, wenn auch schwankende Transaktionen zwischen Cyberkriminellen und stellt gleichzeitig eine Herausforderung für die Polizeibehörden dar. Wie bereits gesagt, ist dieser Untergrund ein gläsernes Becken, das nicht nur transparent sondern auch zerbrechlich ist. Obwohl einige kriminelle Transaktionen offen stattfinden, sind sie sehr unbeständig. Die Lebensdauer der meisten Untergrund-Sites ist kurz. Nachforschungen müssen damit Schritt halten. Um das Internet sicherer zu machen, wird Trend Micro auch weiterhin eng mit den Polizeibehörden sowohl in den USA als auch in Kanada zusammenarbeiten und deren Kampf gegen Cyberkriminalität unterstützen. 28 | North American Underground: The Glass Tank Anhang Anonymisieren von Untergrundtransaktionen Käufer im Untergrund wissen, dass die Nutzung von Kreditkarten und anderen nachvollziehbaren Zahlmethoden für den Kauf von Waren und Diensten eine Verhaftung nach sich ziehen kann. Um dieses Risiko zu verringern, akzeptieren viele Verkäufer im Untergrund Alternativmittel für die Bezahlung. Virtuelle Währungen wie Bitcoins und WebMoney zusammen mit Überweisungen über Service Provider wie Western Union und MoneyGram sind üblich. Diese Bezahlarten ermöglichen eine hohe Abschirmung, weil die Transfers anonym ablaufen. Anders als herkömmliche Bezahldienstleister wie PayPal, die an gültige Bankkonten gebunden sind, verlangen diese Alternativen keine solche Sicherheit. Western Union und MoneyGram Western Union und MoneyGram gehören zu den bekanntesten internationalen GeldtransferDienstleistern. Es sind legale Geschäfte, die leider häufig von Cyberkriminellen missbraucht werden. Diese Dienste ermöglichen es jedem, sofort Geld an jeglichen Empfänger in der Welt zu überweisen. Sie besitzen Tausende Niederlassungen überall, wo der Empfänger sein Geld abholen kann. Die Absender und Empfänger benötigen nicht einmal ein Bankkonto, um die Dienste in Anspruch zu nehmen. Sie können auch falsche Identitäten nutzen (solang sie Ausweise als Beweis einer Identität haben), um Geld zu empfangen oder zu verschicken. Sie hinterlassen keine Spur ihrer illegalen Transaktionen. Jedes von den Sichrheitsforschern untersuchte Untergrundforum und jeder Marktplatz akzeptiert Zahlungen über Western Union oder MoneyGram. Bitcoins Wie zu erwarten ist, akzeptiert jedes nordamerikanische Untergrundforum oder jeder Marktplatz Bitcoins. Die Besitzer liefern sogar eine Schritt-für-Schritt-Anleitung dazu, wie die virtuelle Währung zu benutzen ist. 29 | Der nordamerikanische Untergrund – Das gläserne Becken 31uEbMgunupShBVTewXjtqbBv5Mnd Herunterladen von Software auf den PC oder Telefon, um ein Bitcoin Wallet aufzusetzen. Damit gibt es die Grundfunktionen, um Bitcoins zu senden, zu empfangen und zu speichern. Das Bitcoin-Netzwerk authentifiziert die Transaktionen, indem es sie in der „Blockchain“ aufzeichnet – der darunter liegende Code, der die Integrität der Währung sicherstellt. Die Software generiert eine einzigartige Abfolge von Zahlen für die Bitcoin-Adresse. Diese ist nicht an den Namen oder persönliche Daten des Erstellers gebunden. Doch identifiziert sie ihn im Bitcoin-Netzwerk. Diese Adresse kann er jedem geben, der ihn bezahlen soll. Er kann Bitcoins mit einer Standard-Währung kaufen, entweder von einem anderen Nutzer oder über einen dedizierten Bitcoin Exchange. Die digitalen Summen werden ins Wallet überstellt. Die Software wird für Zahlungsüberweisung an andere Adressen genutzt. Beträge in der Höhe von einer 100sten Million eines Bitcoins sind möglich, einer Einheit namens „Satoshi“ (nach dem Erfinder benannt). Bild 31: Schrittweise Anleitung für die Nutzung von Bitcoins für die Bezahlung Bitcoin-Nutzer verlassen sich auf die der Währungsinfrastruktur innewohnende Nicht-Eindeutigkeit. Bei einer Transaktion werden lediglich Blockchain-Adressen ausgetauscht, und das reicht nicht aus, um den WalletBesitzer einer Person zuzuordnen. Jeder kann anonym Bitcoin entweder online oder auch direkt kaufen. WebMoney WebMoney stellt ein weiteres Zahlungsmittel im nordamerikanischen Untergrund dar. Im Grunde genommen ist es ein viel beworbener Zahlungsabwicklungs-Service in Foren und Marktplätzen. Der Einsatz von WebMoney umfasst „Bürgen“ oder Treuhänder, die die Transaktionssummen unterschreiben. Sie stellen sicher, dass die Summe reibungslos vom Käufer an den Verkäufer übertragen wird. WebMoney offeriert “Services, die es einem Kunden ermöglichen, seine Geldmittel nachzuverfolgen, Dispute auszuräumen und Transaktionen sicher abzuwickeln“. Die von WebMoney verwendete Technologie bietet allen Nutzern ein Set standardisierter Schnittstellen, über die sie ihre Geldmittel verwalten können. Diese werden von darauf spezialisierten Unternehmen – „Bürgen“ – sicher aufbewahrt8. Damit ist nicht nur Anonymität gewährleistet, sondern auch die Sicherheit, dass Transaktionen richtig durchgeführt werden. 30 | Der nordamerikanische Untergrund – Das gläserne Becken Was macht den nordamerikanischen Untergrund aus? Die Sicherheitsforscher verwendeten die folgenden Kriterien, um festzulegen, welche Sites zum nordamerikanischen Untergrund zählen: • Marktplätze und Foren, die primär die nordamerikanische Klientel bedienen (auf regionalem Fokus und Zielkunden beruhend), • Marktplätze und Foren, die in Nordamerika gehostet werden, • Marktplätze und Foren, die vor allem die englische Sprache nutzen (beruht auf Textanalysen), • Marktplätze und Foren, die Verbindungen zu öffentlich gewordenen Domäneninformationen haben, die bei der Standortbestimmung halfen. Der nordamerikanische Untergrund (der vor allem die englische Sprache verwendet) steht praktisch jedem offen. Jeder, der Englisch versteht, findet den Weg zu den verschiedenen Foren und Marktplätzen. Einige Verkäufer verschicken auch physische Waren in andere Länder. Aufteilung der Waren im nordamerikanischen Untergrund Getreu seinen Wurzeln sind Drogen immer noch die meistverkaufte Ware im nordamerikanischen Untergrund. Mehr als die Hälfte der Sites verkauft verschiedene Arten von Drogen, während Crimeware wie Schadsoftware und gestohlene Kontoinformationen weniger Prozente ausmachen. Durch diesen Trend unterscheidet sich der nordamerikanische Untergrund wahrscheinlich von anderen. Während andere Untergrundmärkte mehr auf den Handel mit Crimeware fokussiert sind, lassen sich die nordamerikanischen Untergrundforen besser kategorisieren. Die Kunden profitieren von der Anonymität, die er bietet, um etwa Drogenabhängigkeit zu unterstützen. Drogen 62% Gestohlene Daten-Dumps 16% Crimeware 15% Gefälschte Dokumente 4% Waffen 2% Mord auf Bestellung 1% Bild 32: Verteilung der im noramerikanischen Untergrund angebotenen Waren * * Die klassifizierten Sites beschränken sich auf die während der Untersuchung analysierten. 31 | Der nordamerikanische Untergrund – Das gläserne Becken Referenzen 1. Akira Urano (2015), Trend Micro Security Intelligence „Der japanische Untergrund”, http://www.trendmicro.de/media/wp/wp-the-japanese-underground-de.pdf 2. Fernando Mercês (2014). Trend Micro Security Intelligence „The Brazilian Untergrund Market: The Market for Cybercriminal Wannabes?”, http://www.trendmicro.de/media/wp/the-brazilian-underground-market-wp-en.pdf 3. Max Goncharov (2015), Trend Micro Security Intelligence „Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting Services”, http://www.trendmicro.de/media/wp/wp-criminal-hideouts-for-lease-de.pdf 4. Darknetmarkets.org (10. Juli 2015). Darknet Markets, „A Simple Guide to Safely and Effectively Tumbling (Mixing) Bitcoins”, https://darknetmarkets.org/a-simple-guide-to-safely-and-effectively-mixing-bitcoins/ 5. Trend Micro (13. Oktober 2015), TrendLabs Security Intelligence Blog „FBI, Security Vendors Partner for DRIDEX Takedown”, http://blog.trendmicro.com/trendlabs-security-intelligence/us-law-enforcement-takedown-dridex-botnet/ 6. Trend Micr. (12. April 2015), TrendLabs Security Intelligence Blog „SIMDA: Ausschalten eines Botnets”, http://blog.trendmicro.de/simda-ausschalten-eines-botnets/ 7. Dianne Lagrimas (9. April 2015) Trend Micro Security News, „Beebone Botnet Takedown: Trend Micro Solutions”, http://www.trendmicro.com/vinfo/us/threat-encyclopedia/web-attack/151/beebone-botnettakedown-trend-micro-solutions 8. WebMoney (1998). WebMoney. „Description: In Brief”, http://www.wmtransfer.com/eng/information/short/index.shtml 32 | Der nordamerikanische Untergrund – Das gläserne Becken E rs t e l l t v o n : T h e G l o b a l Te c h n i c a l S u p p o r t a n d R & D C e n te r o f T R E N D M I C R O. TREND MICRO Deutschland GmbH Zeppelinstrasse 1 85399 Hallbergmoos Deutschland Tel. +49 (0) 811 88990–700 Fax +49 (0) 811 88990–799 Über Trend Micro Trend Micro, der international führende Anbieter für Cloud-Security, ermöglicht Unternehmen und Endanwendern den sicheren Austausch digitaler Informationen. Als Vorreiter bei Server-Security mit mehr als fünfundzwanzigjähriger Erfahrung bietet Trend Micro client-, server- und cloud-basierte Sicherheitslösungen an. Diese Lösungen für Internet-Content-Security und Threat-Management erkennen neue Bedrohungen schneller und sichern Daten in physischen, virtualisierten und Cloud-Umgebungen umfassend ab. Die auf der Cloud-Computing-Infrastruktur des Trend Micro Smart Protection Network basierenden Technologien, Lösungen und Dienstleistungen wehren Bedrohungen dort ab, wo sie entstehen: im Internet. Unterstützt werden sie dabei von mehr als 1.000 weltweit tätigen SicherheitsExperten. Trend Micro ist ein transnationales Unternehmen mit Hauptsitz in Tokio und bietet seine Sicherheitslösungen über Vertriebspartner weltweit an. http://www.trendmicro.de/ http://blog.trendmicro.de/ http://www.twitter.com/TrendMicroDE TREND MICRO Schweiz GmbH Schaffhauserstrasse 104 8152 Glattbrugg Schweiz Tel. +41 (0) 44 82860–80 Fax +41 (0) 44 82860–81 TREND MICRO (SUISSE) SÀRL World Trade Center Avenue Gratta-Paille 2 1018 Lausanne Schweiz www.trendmicro.com © 2016 Trend Micro Incorporated. Alle Rechte vorbehalten. Trend Micro und das Trend Micro T-Ball-Logo sind Marken oder eingetragene Marken von Trend Micro Incorporated. Alle anderen Firmen- oder Produktnamen sind Marken oder eingetragene Marken ihrer jeweiligen Eigentümer.