North American Underground: The Glass Market

Transcription

North American Underground: The Glass Market
Der nordamerikanische Untergrund
Das gläserne Becken
Kyle Wilhoit und Stephen Hilt
Forward-Looking Threat Research (FTR) Team
TrendLabsSM Forschungspapier
HAFTUNGSAUSSCHLUSS
Die in diesem Dokument bereitgestellten Informationen sind lediglich allgemeiner Natur und für
Aufklärungszwecke gedacht. Sie stellen keine
Rechtsberatung dar und sind nicht als solche
auszulegen. Die in diesem Dokument bereitgestellten Informationen finden womöglich nicht
auf alle Sachverhalte Anwendung und spiegeln
womöglich nicht die jüngsten Sachverhalte wider.
Die Inhalte in diesem Dokument sind ohne eine
Rechtsberatung auf der Grundlage der vorgestellten
besonderen Fakten und Umstände nicht als
verlässlich oder als Handlungsanweisungen zu
verstehen und nicht in anderer Weise auszulegen.
Trend Micro behält sich das Recht vor, die Inhalte
dieses Dokuments zu jeder Zeit und ohne
Vorankündigung zu ändern.
Übersetzungen in andere Sprachen sind ausschließlich als Unterstützung gedacht. Die Genauigkeit der Übersetzung wird weder garantiert noch
stillschweigend zugesichert. Bei Fragen zur Genauigkeit einer Übersetzung lesen Sie bitte in
der offiziellen Fassung des Dokuments in der Ursprungssprache nach. Diskrepanzen oder Abweichungen in der übersetzten Fassung sind nicht
bindend und haben im Hinblick auf Compliance
oder Durchsetzung keine Rechtswirkung.
Trend Micro bemüht sich in diesem Dokument
im angemessenen Umfang um die Bereitstellung
genauer und aktueller Informationen, übernimmt
jedoch hinsichtlich Genauigkeit, Aktualität und
Vollständigkeit keine Haftung und macht diesbezüglich keine Zusicherungen. Sie erklären Ihr
Einverständnis, dass Sie dieses Dokument und
seine Inhalte auf eigene Gefahr nutzen und sich
darauf berufen. Trend Micro übernimmt keine
Gewährleistung, weder ausdrücklich noch stillschweigend. Weder Trend Micro noch Dritte, die
an der Konzeption, Erstellung oder Bereitstellung
dieses Dokuments beteiligt waren, haften für
Folgeschäden oder Verluste, insbesondere
direkte, indirekte, besondere oder Nebenschäden,
entgangenen Gewinn oder besondere Schäden,
die sich aus dem Zugriff auf, der Verwendung
oder Unmöglichkeit der Verwendung oder in
Zusammenhang mit der Verwendung dieses
Dokuments oder aus Fehlern und Auslassungen
im Inhalt ergeben. Die Verwendung dieser
Informationen stellt die Zustimmung zur Nutzung
in der vorliegenden Form dar.
Inhalt
4
Waren im
nordamerikanischen
Untergrund
27
Die Zukunft des
nordamerikanischen
Untergrunds
29
Anhang
Der cyberkriminelle Untergrund in Nordamerika steht jedem offen, und das
schon eine ganze Weile. Anders als der Untergrund in anderen Ländern oder
Regionen der Welt schränkt der nordamerikanische Untergrund den Zutritt
nicht ein. Auch Neulinge sind dort willkommen, und cyberkriminelle Aktivitäten
werden gefördert.
Der Zugang zu vielen Untergrund-Sites ist einfach, denn die Sites sind im so
genannten „Oberflächen-Web“ (im Gegensatz zum Deep Web) zu finden.
Damit locken sie immer mehr Menschen auf ihre unterschiedlichen Foren und
Marktplätze. Jeder, der die richtige Suchanfrage stellt, kann darauf zugreifen.
Bereits die einfache Suche nach Anleitungen zur Cyberkriminalität (zur Nutzung
von Virtual Private Networks [VPNs] oder The Onion Router [TOR]) kann zu
entsprechenden Foren führen.
Die Konkurrenz im nordamerikanischen Untergrund ist hart. Mit den Jahren
haben einige Anbieter ihr Portfolio einander weitgehend angeglichen und damit
die Preise gedrückt. Das hat sich für Neulinge in Sachen Cyberkriminalität, die
mit limitiertem Budget auf Schnäppchensuche waren, sehr positiv ausgewirkt.
Dieser offene Untergrund bietet eine große Vielfalt an illegalen Waren. Neben
der üblichen Crimeware und Daten-Dumps, die es in anderen Märkten auch gibt,
umfasst der nordamerikanische Untergrund eine breite Palette von Waren und
Diensten etwa für physischen Betrug und Mord. Diese Offerten könnten auch das
Ergebnis der gebotenen Anonymität sein, die nach Ansicht der Marktteilnehmer
durch die virtuellen Währungen gewährleistet ist.
Entwickelt sich der offenere nordamerikanische Untergrund besser als die
versteckten und exklusiveren Cyber-Untergrundmärkte in anderen Regionen?
Ist Offenheit das Geheimnis für mehr Geschäft? Oder wird diese Offenheit den
Markt direkt auf den Radarschirm der Polizeibehörden rücken?
Dieser Untergrund ist kein abgesperrter Raum, der nur den technisch versierten
Hackern zugänglich ist. Er ist eher ein gläsernes Becken, das sowohl für
Cyberkriminelle als auch für Polizeibehörden sichtbar ist. Cyberkriminelle
Aktivitäten werden wie ein reguläres Geschäft betrieben. Einige Waren und
Dienste werden offen in Oberflächen-Webforen und sogar auf Sites wie
YouTube beworben, um mehr Kunden anzuziehen. Die Transparenz erzeugt ein
Paradoxon, denn diese Freiheit, die der Untergrund erlaubt, fördert eine rege
Cyberkriminalität – und das unter den wachsamen Augen der Polizeibehörden,
die jederzeit dem Befehl zur Schließung folgen können.
ABSCHNITT 1
Waren im
nordamerikanischen
Untergrund
Waren im nordamerikanischen
Untergrund
Der nordamerikanische Untergrund bedient vor allem Kunden innerhalb der USA und Kanadas. Die
meisten Angebote (gestohlene Konten, Produkte und Services sowie gefälschte Dokumente) stammen
aus den USA. Diese Tatsache entspricht auch dem, was die Forscher im japanischen1 und brasilianischen2
Untergrund gefunden haben. Daraus lässt sich schließen, dass US-bezogene Informationen am meisten
gefragt sind.
Trend Micros Sicherheitsforscher teilten die Waren und Dienstleistungen in drei große Gruppen –
Crimeware, gestohlene Daten-Dumps und gefälschte Dokumente sowie Drogen und Waffen.
Crimeware
Hacking Tools
Die Forscher fanden einige nordamerikanische Foren, die nur Hacking Tools verkaufen. Diese Waren
gelten als Basisgüter in jedem Untergrundmarkt – Keylogger, Spamming Tools, Remote Access Tools
(RATs) und Botnets.
Bild 1: HawkEye, ein Keylogger, wird für 1 - 4 $ verkauft
5 | Der nordamerikanische Untergrund – Das gläserne Becken
Bild 2: RATs, Verschlüsselungsdienste, sogar Botnets und Silk Road 3.0-Zugriffsanleitungen gibt es in
Hülle und Fülle
In den meisten Fällen umfasst der Kauf von Schadsoftware auch technischen Support durch deren
Entwickler. Den Xena RAT Builder beispielsweise gibt es mit zwei verschiedenen Service-Paketen – Silber
und Gold. Das Gold-Paket beinhaltet Verschlüsselungsdienste, um sicherzustellen, dass die Malware, die
mit dem Kit erstellt wird, auch nicht zu entdecken ist.
6 | Der nordamerikanische Untergrund – Das gläserne Becken
Bild 3: Xena RAT Silber- und Gold-Paket
Bild 4: YouTube-Video, das die verschiedenen Fähigkeiten von Xena vorführt
7 | Der nordamerikanische Untergrund – Das gläserne Becken
Angebot
Preis
Keylogger
1-4$
Xena RAT builder
1 - 50 $
Exploit
1+ $
(abhängig von der Komplexität)
Botnet und/oder botnet builder
Worm
5 - 200 $
7–15 $
Ransomware
10 $
Betabot DDoS tool
74 $
Tabelle 1: Häufig im nordamerikanischen Untergrund anzutreffende Crimeware
BPHSs
Jedes cyberkriminelle Unternehmen stützt sich auf Bulletproof Hosting Services (BPHSs)3, um den
Betrieb reibungslos und unbemerkt abwickeln zu können. BPHS-Anbieter erlauben es Nutzern, alles
zu speichern, einschließlich bösartiger Inhalte wie Phishing Sites, pornografischen Materials oder auch
Command-and-Control (C&C)-Infrastruktur. Ohne Hilfe der BPHSs mit ihren legalen Geschäftsfassaden
wären viele cyberkriminelle Gruppen nicht handlungsfähig.
Es gibt viele unterschiedliche BPHS-Angebote im nordamerikanischen Untergrund. Auf die Wünsche der
Kunden zugeschnittene BPHS-Offerten sind für 75 $ pro Monat verfügbar. Geboten wird dafür eine einzige
IP-Adresse sowie 100 GB Plattenplatz auf einer Maschine mit 2 GB RAM. Einen solchen Basiszugriff auf
einen Bulletproof-Server erhält man aber auch schon für nur 3 $ pro Monat.
Bild 5: Werbung für einen auf Kunden zugeschnittenen BHPS für 75 $ pro Monat
8 | Der nordamerikanische Untergrund – Das gläserne Becken
Bild 6: Werbung für einen in Russland angesiedelten BHPS-Provider, der seine Erfolge beim Hosting von
Botnets, RATs, Spamming Tools, Betrugsforen und Pornoinhalte anpreist
Bild 7: Post eines Nutzers, der einen BPHS-Provider sucht
Crypting Services
Crypting Services, die wohl derzeit am meisten gesuchte Crimeware im nordamerikanischen Untergrund,
helfen, die Erstellungsdaten von Schadsoftware-Binaries und weitere bösartige Komponenten zu
verbergen. Kunden müssen dafür lediglich ihre Schadsoftware an den Dienstanbieter schicken, der sie
gegen alle verfügbaren Standard-Antimalware-Werkzeuge testet. Der Provider prüft, wie viele Produkte
den Code als „bösartig“ kennzeichnen. Danach verschlüsseln sie die Malware, so oft es nötig ist, bis
diese nicht mehr erkannt wird.
Die Angebote für Crypting-Dienste variieren, doch die meisten Anbieter verschlüsseln Dateien, die unter
anderem auf Windows® XP, 7 und 8 sowie Windows Server 2003 und 2008 laufen sollen. Sie sind im
Allgemeinen preisgünstig, und Kriminelle, die sie in Mengen kaufen, erhalten sogar Preisnachlässe. Zu den
typischen Kunden gehören diejenigen, die nach kosteneffizienten Möglichkeiten suchen, die Entdeckung
durch Antimalware-Firewalls sowie Intrusion Detection and Prevention Systems (IDSs/IPSs) zu vermeiden.
9 | Der nordamerikanische Untergrund – Das gläserne Becken
Bild 8: Angebot einmaliger, täglicher, wöchentlicher und monatlicher Crypting Services,
die einen API-Support einschließen und zwischen 8 $ pro Datei und 1.000 $ pro Monat mit
uneingeschränkter Dateinutzung kosten
VPNs und Proxies
VPNs und Proxies gehören zu den essenziellen Werkzeugen für Cyberkriminelle, denn sie stellen die beste
Möglichkeit dar, kriminelle Kommunikation zu verbergen und Identitäten zu anonymisieren.
VPNs verschlüsseln alle innerhalb dieses Netzwerks gesendeten und ankommenden Daten, während
Proxy-Server den Verkehr von einer IP-Adresse auf eine andere umleiten, um von der tatsächlichen Quelle
der Daten abzulenken. VPNs und Proxies unterstützen somit anonyme Verbindungen und Kommunikation.
Die meisten Kriminellen, die vollkommene Anonymität suchen, befürchten, dass VPN Service Provider
ihre Kontoaktivitäten nachverfolgen und loggen könnten. Deshalb gibt es anonyme VPN- oder ProxyServerzugänge zu einem durchschnittlichen Preis von 102 $ pro Jahr.
Bild 9: VPN-Zugriff über Plattformen hinweg mit uneingeschränkter Bandbreite und garantiert ohne
Aktivitäts-Logging
10 | Der nordamerikanische Untergrund – Das gläserne Becken
DDoS-Angriffe oder Web-Stressdienste
Distributed Denial-of-Service (DDoS)- oder Web-Stressangriffe sind im Arsenal der Cyberkriminellen weit
verbreitet. DDoS-Angebote gibt es zu relativ niedrigen Preisen.
Bild 10: Im nordamerikanischen Untergrund sind verschiedene DDoS-Angriffe und
Web-Stressing-Dienste zu haben
Premium Web Stress-Services werben mit Kapazitäten für DDoS-Verkehrsangriffe von bis zu 300 GBps.
Bild 11: Pakete für DDoS-Angriffsdienste im nordamerikanischen Untergrund
11 | Der nordamerikanische Untergrund – Das gläserne Becken
Bild 12: Post, der Beweise für die Fähigkeiten des DDoS-Angriffsdienstes eines Providers veröffentlicht
Angebot
Preis
40 GBps für 300 Sekunden
5$
70GBps für 300 Sekunden
9$
40GBps für 2.700 Sekunden
25 $
125GBps für 300 Sekunden
25 $
70GBps für 7.200 Sekunden
30 $
125GBps für 2.000 Sekunden
60 $
Tabelle 2: DDoS-Angriffs- und Web-Stress-Dienste im nordamerikanischen Untergrund
Zugang zu kompromittierten Sites
Ein häufig anzutreffendes Angebot im nordamerikanischen Untergrund sind Zugänge zu kompromittierten
Sites, einschließlich via Remote Desktop Protocol (RDP). Die Preise für solche Dienste variieren, abhängig
vom Typus. Verkäufer bieten Zugriff auf eine einzelne oder mehrere kompromittierte Sites, aber auch
vollständigen Root-Zugang zu Servern.
Cyberkriminelle nutzen häufig kompromittiere Sites oder Server, um Schadsoftwae zu verteilen. Die Sites
oder Server fungieren als Sprungbrett-Proxies für den Launch von Angriffen auf die gewählten Sites oder
Server.
12 | Der nordamerikanische Untergrund – Das gläserne Becken
Bild 13: Cpanel kosten 4 - 10 $ und werden für den RDP-Zugriff genutzt; bei Anpassung an das
Betriebssystem und Ländereinstellungen des Käufers sind es 20 $
RDP-Zugriffswerkzeuge kosten im Allgemeinen 10 – 25 $, je nach gewünschtem Zielbereich, Opfertypus
und den Zugriffsrechen. Zugang zu gehackten Site-Managementportalen (Cpanel) kosten zwischen 3 - 5 $.
Gestohlene Daten-Dumps und gefälschte Dokumente
Gestohlene Zugangsdaten für Kreditkarten und Klone
Cyberkriminelle wählen den Untergrund, wenn sie gestohlene Daten zu Geld machen wollen. Hier verkaufen
sie Informationen wie Zugangsdaten für Kreditkarten. Dies sind jedoch nicht die einzigen angebotenen
Waren in Verbindung mit Kreditkarten.
Klone oder Kopien gestohlener Kreditkarten gibt es dort ebenfalls in Hülle und Fülle, dennoch
ließ sich kein Post zu Details finden, wie sie verwendet werden. Die Käufer jedenfalls bevorzugen
Kreditkartenzugangsdaten anstelle von Klonen, denn letztere bergen die Gefahr, damit in flagranti erwischt
zu werden.
Die Angebote rund um Kreditkarten haben unterschiedliche Preise, je nach Zuverlässigkeit, Anonymität
(vor, während und nach dem Verkauf), dem ausstellenden Land sowie dem Kreditlimit. Die meisten
angebotenen Waren wurden in den USA, in Kanada oder in einem europäischen Land ausgestellt.
13 | Der nordamerikanische Untergrund – Das gläserne Becken
Bild 14: Werbung für Angebote rund um Kreditkarten in einem beliebten Marktplatz
Angebot
Preis
Klassische Zugangsdaten zu US-Kreditkarten
19 - 22 $ (100 Sets)
Gold, Platinum oder Business USKreditkarten-Zugangsdaten
Klassische Zugangsdaten zu kanadischen
Kreditkarten
Gold, Platinum oder KreditkartenZugangsdaten aus Kanada
Gefälschte US-Kreditkarten (physisch)
36 - 42 $ (50 Sets)
47 - 50 $ (40 Sets)
50 - 65 $ (35 Sets)
210 - 874 $
Tabelle 3: Angebote rund um Kreditkarten im nordamerikanischen Untergrund
Europay, MasterCard und Visa (EMV)-Karten mit Standard- oder Chip- und persönlicher Identifikationsnummer (PIN) (Technologie wurde kürzlich zum europäischen, US- und kanadischen Standard erklärt)
sowie damit zusammenhängende Waren sind häufig anzutreffende Angebote. Sie sind mit 30 - 40 $ teurer
als normale (Nicht-EMV und Nicht-PIN) Karten.
14 | Der nordamerikanische Untergrund – Das gläserne Becken
Bild 15: Nutzer, die Kartenpakete (mehr als 20) kaufen mit Kontoständen von
800 - 1.300 $ für Europa und USA erhalten Rabatte.
Bild 16: Angebot von Verkäufern gestohlener Kreditkarteninformationen
In kreditkartenbezogenen Angeboten wird oft ein Haftungsausschluss angefügt: Nicht alle Zugangsdaten
in einem Dump werden funktionieren. Nutzern, die beispielsweise 100 Datensätze kaufen, wird die
Verwendung von mindestens 15 funktionierenden Karten garantiert.
15 | Der nordamerikanische Untergrund – Das gläserne Becken
Zugangsdaten zu Online-Konten
Auch gibt es eine Fülle an gestohlenen Zugangsdaten für Online-Konten. Cyberkriminelle hacken Spotifyund Netflix-Konten, um den Zugang dazu zu verkaufen. Damit können Nutzer die von ihnen gewünschten
Dienste für einen Bruchteil des legitimen Preises nutzen, solange der Besitzer des kompromittierten
Kontos sein Passwort nicht ändert.
Bild 17: Zugang zu Netflix-Konto auf Lebenszeit wird für 5 $ angeboten
(um 3 - 4 $ billiger als das offizielle Angebot)
Der Zugang zu Origin, Spotify und Hulu, zu Beats Music-Konten wird für sehr niedrige Preise angeboten.
Diese Offerten werden wahrscheinlich bald verschwinden, weil der Dienst nicht mehr verfügbar ist.
Angebot
Preis
Origin-Kontozugang
weniger als 1 $
Spotify-Kontozugang
2$
Beats Music-Kontozugang
2$
Hulu Plus-Kontozugang
4$
NeFlix-Kontozugang
5$
Dish Network Anywhere-Kontozugang
7$
Luminosity-Kontozugang
7$
Verified PayPal-Kontozugang
9$
Sirius Satellite Radio-Kontozugang
15 $
Tabelle 4: Angebote für gestohlene Online-Kontozugänge im nordamerikanischen Untergrund
16 | Der nordamerikanische Untergrund – Das gläserne Becken
Interessanterweise wird auch der Zugang zu Konten für nordamerikanische Untergrundforen verkauft. Die
meisten Foren sind geschlossene Communities, für die es einer Einladung oder Zugangsgebühr bedarf.
Diese Foren filtern die Nutzer, um die Sicherheit der bestehenden Mitglieder zu gewährleisten.
Bild 18: Angebot eines Einladungs-Codes zu Agora, einem beliebten Untergrundforum, für 1 $
Bild 19: Angebot des Zugangs zu einer Reihe von Onion Sites für jeweils 1 $
Gefälschte Dokumente
Identitätsdiebstahl macht einen großen Teil der nordamerikanischen Untergrundwirtschaft aus. Es geht
dabei nicht nur um den Zugang zu den Kreditkarten und Online-Konten von Opfern. Es existiert ein
großer Markt für gefälschte Ausweise. Die Käufer (hauptsächlich illegale Ausländer und Kriminelle) suchen
im Untergrund nach Dokumenten, die ihre Anträge auf Staatsbürgerschaft oder Kredite unterstützen.
Auch sollen sie die Eröffnung eines nicht nachvollziehbaren Bankkontos ermöglichen, ihren Inländerstatus
beweisen oder dem Versicherungsbetrug dienen sowie der Identitätskontrolle beim Kauf von manchen
illegalen Dingen.
17 | Der nordamerikanische Untergrund – Das gläserne Becken
Bild 20: Forum-Angebote für gefälschte Reisepässe
Bild 21: Untergrund-Marktplatz für gefälschte Reisepässe aus verschiedenen Ländern
18 | Der nordamerikanische Untergrund – Das gläserne Becken
Nachgemachte Dokumente, auch als „hergestellte Dokumente“ bekannt, nutzen üblicherweise die
persönlichen Informationen von Toten. Sie werden auch mit den von Käufern gelieferten Informationen
erstellt.
Angebot
Kanadischer Reisepass-Scan
Preis
17 - 24 $
UK Reisepass-Scan
28 $
US Reisepass-Scan
30 $
Gefälschte US-Fahrzeugversicherungskarte
38 $
US-Führerschein Scan
145 $
Gefälschter kanadischer Führerschein
630 $
Gefälschter kanadischer Reisepass
670 $
Gefälschter britischer Führerschein
700 $
Gefälschter britischer Reisepass
730 $
Gefälschter US-Führerschein
727 $
Gefälschter US-Reisepass
780 $
Tabelle 5: Gefälschte Dokumente im nordamerikanischen Untergrund
(Preise variieren, je nach Qualität des Dokuments und nach der Nationalität des Käufers)
Drogen und Waffen
Drogen
Eines der ursprünglichen Ziele der Foren im nordamerikanischen Untergrund war, den Verkauf von
illegalen Drogen und Paraphernalien zu ermöglichen. Die Foren haben sich längst weiterentwickelt, doch
sind diese Waren in vielen Foren immer noch zentral.
Diejenigen, die in Drogentransaktionen verwickelt sind, hoffen häufig darauf, ihre Anonymität wahren
zu können. Daher nutzen viele Untergrundforen verschiedene Codes für das, was sie suchen oder
verkaufen. Einige bieten Drogen unter dem Deckmantel von Nahrungsmitteln an. Mit Cannabis-versetzte
Erdnussbutter etwa wird in vielen Foren offen beworben.
19 | Der nordamerikanische Untergrund – Das gläserne Becken
Bild 22: Forumsangebote für den Verkauf aller Arten von Drogen
Der Verkauf von Drogen schließt das Versenden und Empfangen von physischen Waren (im Gegensatz
zu virtuellen Waren oder digitalen Informationen) mit ein. Deshalb umfassen die Transaktionen mehrere
Schritte, um die Anonymität sowohl des Käufers als auch des Verkäufers zu wahren.
20 | Der nordamerikanische Untergrund – Das gläserne Becken
obfuscate
main(t,_,a) char* a; {return!0<t?
t<3? main(-79,-13,a+ main(-87,1-_,
main(-86, 0, a+1 ) +a)): 1, t <_? main(t+1, _, a )
:3,
Ein Käufer erwirbt Bitcoins von
Sites wie localbitcoins.com.
Diese Site macht es nötig, den
Bitcoin-Verkäufer physisch zu
treffen und zu bezahlen.
Der Käufer „wäscht“ die
Bitcoins, um ihre Herkunft zu
verschleiern. Damit entsteht
eine weitere Anonymitätsschicht für Bitcoin-Transakionen.
Der Käufer transferiert das
Bitcoin-Eigentum an das
Untergrundforum oder den
Treuhänder seiner Wahl.
Der Forumsbesitzer oder
Treuhänder übergibt die
Bitcoins an den Verkäufer,
sobald die Transaktion
bestätigt ist.
Der Käufer erwirbt dann Drogen über das Forum oder den
Treuhänder und lässt die Waren an eine Post Office (PO)-Box oder
einen bestimmten Ablageort liefern. Der Ablageort kann ein
leerstehendes Haus sein, sodass er die Waren zu einer bestimmten
Zeit dort abholen kann, ohne Aufmerksamkeit zu erregen.
Bild 23: Beispiel des Ablaufs einer Drogentransaktion
(„Bitcoin-Mixing” oder „Bitcoin Waschen“ benennt den Prozess der Nutzung des Dienstes eines Dritten,
um die Verbindung zwischen der Adresse eines Absenders und Empfängers zu unterbrechen4. Da die
Bitcoin Blockchain ein öffentliches Bestandsbuch ist, das jede Transaktion festhält, ist das Mixen von
Coins essenziell, um zu verschleiern wohin und woher die Bitcoin gehen bzw. kommen)
Neben dem tatsächlichen Drogengeschäft floriert auch der Handel mit gefälschten Rezepten. Die
Sicherheitsforscher fanden solche Rezeptfälschungen für Walgreens, CVS und Walmart. Drogenabhängige
wollen so ihrer Verhaftung entgehen, falls sie mit Drogen erwischt werden.
Bild 24: Gefälschte Rezepte
21 | Der nordamerikanische Untergrund – Das gläserne Becken
Angebot
Preis
“Blue Cheese”-Marijuana
19 $ pro Gramm
THC-Ölspray
24 $ pro Behälter
Hasch
5 $ pro 5 Gramm
Valium
66 $ pro 75 Tabletten
Hochqualitatives
bolivianisches Kokain
69 $ pro Gramm
Methylphenidate (18mg)
70 $ pro 10 Tabletten
Clonazepam
71 $ pro 100 Tabletten
MMDA
86 $ pro Tablette
Fälschungen CVS, Walgreens, oder
Roland Rezeptmarken
100 $ pro 3 Marken
Methamphetamine
136 $ pro Gramm
Afghanisches Heroin
209 $ pro Gramm
Tabelle 6: Drogen und damit zusammenhängende Waren im nordamerikanischen Untergrund
Auch Anleitungen zur Herstellung von Drogen oder auch die Utensilien dafür gibt es im Untergrund. So
etwa kostete eine Anleitung zur Herstellung von Crack 5 $.
Bild 25: Anleitung zur Herstellung von Crack
22 | Der nordamerikanische Untergrund – Das gläserne Becken
Waffen
Das Angebot an Waffen im nordamerikanischen Untergrund reicht von Schlagstöcken bis zu
hochleistungsfähigen Gewehren. Die Forscher fanden einen Verkäufer im mittleren Westen der USA, der
mit Handfeuerwaffen, Flinten, Gewehren und allen Arten von Munition handelte. Es gibt zudem Foren, die
sich auf den Verkauf von Schlagstöcken und allen Arten von Messern spezialisiert haben.
Bild 26: Angebote von Taser-Waffen und Schlagstöcken im nordamerikanischen Untergrund
Waffenmarktplätze haben häufig ausländische Kontakte und können die Waren auch außerhalb
von Nordamerika ausliefern. Ein solcher Verkäufer lieferte über Partner nach Kanada, Australien,
Großbritannien, Deutschland und Russland.
23 | Der nordamerikanische Untergrund – Das gläserne Becken
Bild 27: Für die Lieferung außerhalb der USA verfügbare Waffen
24 | Der nordamerikanische Untergrund – Das gläserne Becken
Bild 28: Eine Waffen-Site, die Feuerwaffen fast in die ganze Welt liefert
Die von Trend Micro untersuchten Foren und Marktplätze hatten ähnliche Angebote zu Standardpreisen.
Angebot
Preis
Aerosol Pfefferspray
8 $ pro Dose
Ein Paar Schlagringe
18 $
Messer
20 $
Taser-Waffe
30 $
.45ACP-Munition
450 $ pro 1.000 Patronen
.30-06 Munition
490 $ pro 1.000 Patronen
Beretta
550 $
AK-47 Maschinengewehr
800 $
Handfeuerwaffe mit
Schalldämpfer
.50 Kaliber Gewehr
1.500 $
6.500 $
Tabelle 6: Im nordamerikanischen Untergrund angebotene Waffen
25 | Der nordamerikanische Untergrund – Das gläserne Becken
Mord auf Bestellung
Services für Morde auf Bestellung sind allgegenwärtig im nordamerikanischen Untergrund.
Bild 29: Werbung für Mord auf Bestellung
Einige dieser Angebote sind differenziert aufgestellt: Je bekannter oder wichtiger das Opfer ist und je
größer der angerichtete Schaden, desto teurer ist die Dienstleistung.
Bild 30: Angebot eines Mord-Service mit Preisen
Viele dieser Sites garantieren ein bestimmtes „Professionalitätsniveau“. Auftragskiller liefern gewisse
Garantien für die Wahrung der Anonymität ihrer Kunden. Sie offerieren unterschiedliche „Ausprägungen“,
von Zusammenschlagen von Durchschnittspersonen zu 3.000 $ bis zum Mord an öffentlichen Personen
zu 180.000 $.
26 | Der nordamerikanische Untergrund – Das gläserne Becken
ABSCHNITT 2
Die Zukunft des
nordamerikanischen
Untergrunds
Die Zukunft des
nordamerikanischen Untergrunds
Die Polizeibehörden in Nordamerika gehen viel rigoroser vor als in anderen Regionen der Welt und
verschärfen ihre gesetzlichen Regelungen stetig. Dieses Vorgehen zeigt Erfolge. So konnte die Polizei
in Zusammenarbeit mit Trend Micro in diesem Jahr die Botnet-Aktivitäten von DRIDEX5, SIMDA6 und
BEEBONE7 abstellen, die vorher als Rückgrat für viele cyberkriminelle Operationen gedient hatten.
Trotzdem gibt es immer noch eine dreiste, florierende Untergrundwirtschaft in der Region.
Die Offenheit des nordamerikanischen Untergrunds kann auch zu höheren Profiten für Verkäufer
sowie zu Marktwachstum führen. Die Zugänglichkeit mag Verkäufern dabei helfen, auf Kosten der
höheren Sichtbarkeit mehr Kunden zu akquirieren. Und dies wiederum fördert schnelle, wenn auch
schwankende Transaktionen zwischen Cyberkriminellen und stellt gleichzeitig eine Herausforderung für
die Polizeibehörden dar. Wie bereits gesagt, ist dieser Untergrund ein gläsernes Becken, das nicht nur
transparent sondern auch zerbrechlich ist. Obwohl einige kriminelle Transaktionen offen stattfinden, sind
sie sehr unbeständig. Die Lebensdauer der meisten Untergrund-Sites ist kurz. Nachforschungen müssen
damit Schritt halten.
Um das Internet sicherer zu machen, wird Trend Micro auch weiterhin eng mit den Polizeibehörden
sowohl in den USA als auch in Kanada zusammenarbeiten und deren Kampf gegen Cyberkriminalität
unterstützen.
28 | North American Underground: The Glass Tank
Anhang
Anonymisieren von Untergrundtransaktionen
Käufer im Untergrund wissen, dass die Nutzung von Kreditkarten und anderen nachvollziehbaren
Zahlmethoden für den Kauf von Waren und Diensten eine Verhaftung nach sich ziehen kann. Um dieses
Risiko zu verringern, akzeptieren viele Verkäufer im Untergrund Alternativmittel für die Bezahlung. Virtuelle
Währungen wie Bitcoins und WebMoney zusammen mit Überweisungen über Service Provider wie
Western Union und MoneyGram sind üblich. Diese Bezahlarten ermöglichen eine hohe Abschirmung, weil
die Transfers anonym ablaufen. Anders als herkömmliche Bezahldienstleister wie PayPal, die an gültige
Bankkonten gebunden sind, verlangen diese Alternativen keine solche Sicherheit.
Western Union und MoneyGram
Western Union und MoneyGram gehören zu den bekanntesten internationalen GeldtransferDienstleistern. Es sind legale Geschäfte, die leider häufig von Cyberkriminellen missbraucht werden.
Diese Dienste ermöglichen es jedem, sofort Geld an jeglichen Empfänger in der Welt zu überweisen. Sie
besitzen Tausende Niederlassungen überall, wo der Empfänger sein Geld abholen kann. Die Absender
und Empfänger benötigen nicht einmal ein Bankkonto, um die Dienste in Anspruch zu nehmen. Sie
können auch falsche Identitäten nutzen (solang sie Ausweise als Beweis einer Identität haben), um Geld
zu empfangen oder zu verschicken. Sie hinterlassen keine Spur ihrer illegalen Transaktionen.
Jedes von den Sichrheitsforschern untersuchte Untergrundforum und jeder Marktplatz akzeptiert
Zahlungen über Western Union oder MoneyGram.
Bitcoins
Wie zu erwarten ist, akzeptiert jedes nordamerikanische Untergrundforum oder jeder Marktplatz
Bitcoins. Die Besitzer liefern sogar eine Schritt-für-Schritt-Anleitung dazu, wie die virtuelle Währung zu
benutzen ist.
29 | Der nordamerikanische Untergrund – Das gläserne Becken
31uEbMgunupShBVTewXjtqbBv5Mnd
Herunterladen von Software auf den PC oder
Telefon, um ein Bitcoin Wallet aufzusetzen.
Damit gibt es die Grundfunktionen, um Bitcoins
zu senden, zu empfangen und zu speichern.
Das Bitcoin-Netzwerk authentifiziert die
Transaktionen, indem es sie in der „Blockchain“
aufzeichnet – der darunter liegende Code, der die
Integrität der Währung sicherstellt.
Die Software generiert eine einzigartige Abfolge von
Zahlen für die Bitcoin-Adresse. Diese ist nicht an den
Namen oder persönliche Daten des Erstellers gebunden. Doch identifiziert sie ihn im Bitcoin-Netzwerk. Diese Adresse kann er jedem geben, der ihn bezahlen soll.
Er kann Bitcoins mit einer Standard-Währung
kaufen, entweder von einem anderen Nutzer oder
über einen dedizierten Bitcoin Exchange. Die
digitalen Summen werden ins Wallet überstellt.
Die Software wird für Zahlungsüberweisung an
andere Adressen genutzt. Beträge in der Höhe von
einer 100sten Million eines Bitcoins sind möglich,
einer Einheit namens „Satoshi“ (nach dem Erfinder benannt).
Bild 31: Schrittweise Anleitung für die Nutzung von Bitcoins für die Bezahlung
Bitcoin-Nutzer verlassen sich auf die der Währungsinfrastruktur innewohnende Nicht-Eindeutigkeit. Bei einer
Transaktion werden lediglich Blockchain-Adressen ausgetauscht, und das reicht nicht aus, um den WalletBesitzer einer Person zuzuordnen. Jeder kann anonym Bitcoin entweder online oder auch direkt kaufen.
WebMoney
WebMoney stellt ein weiteres Zahlungsmittel im nordamerikanischen Untergrund dar. Im Grunde
genommen ist es ein viel beworbener Zahlungsabwicklungs-Service in Foren und Marktplätzen. Der
Einsatz von WebMoney umfasst „Bürgen“ oder Treuhänder, die die Transaktionssummen unterschreiben.
Sie stellen sicher, dass die Summe reibungslos vom Käufer an den Verkäufer übertragen wird.
WebMoney offeriert “Services, die es einem Kunden ermöglichen, seine Geldmittel nachzuverfolgen,
Dispute auszuräumen und Transaktionen sicher abzuwickeln“. Die von WebMoney verwendete Technologie
bietet allen Nutzern ein Set standardisierter Schnittstellen, über die sie ihre Geldmittel verwalten können.
Diese werden von darauf spezialisierten Unternehmen – „Bürgen“ – sicher aufbewahrt8. Damit ist nicht nur
Anonymität gewährleistet, sondern auch die Sicherheit, dass Transaktionen richtig durchgeführt werden.
30 | Der nordamerikanische Untergrund – Das gläserne Becken
Was macht den nordamerikanischen Untergrund aus?
Die Sicherheitsforscher verwendeten die folgenden Kriterien, um festzulegen, welche Sites zum
nordamerikanischen Untergrund zählen:
• Marktplätze und Foren, die primär die nordamerikanische Klientel bedienen (auf regionalem Fokus und
Zielkunden beruhend),
• Marktplätze und Foren, die in Nordamerika gehostet werden,
• Marktplätze und Foren, die vor allem die englische Sprache nutzen (beruht auf Textanalysen),
• Marktplätze und Foren, die Verbindungen zu öffentlich gewordenen Domäneninformationen haben, die
bei der Standortbestimmung halfen.
Der nordamerikanische Untergrund (der vor allem die englische Sprache verwendet) steht praktisch jedem
offen. Jeder, der Englisch versteht, findet den Weg zu den verschiedenen Foren und Marktplätzen. Einige
Verkäufer verschicken auch physische Waren in andere Länder.
Aufteilung der Waren im nordamerikanischen Untergrund
Getreu seinen Wurzeln sind Drogen immer noch die meistverkaufte Ware im nordamerikanischen
Untergrund. Mehr als die Hälfte der Sites verkauft verschiedene Arten von Drogen, während Crimeware
wie Schadsoftware und gestohlene Kontoinformationen weniger Prozente ausmachen.
Durch diesen Trend unterscheidet sich der nordamerikanische Untergrund wahrscheinlich von anderen.
Während andere Untergrundmärkte mehr auf den Handel mit Crimeware fokussiert sind, lassen sich die
nordamerikanischen Untergrundforen besser kategorisieren. Die Kunden profitieren von der Anonymität,
die er bietet, um etwa Drogenabhängigkeit zu unterstützen.
Drogen
62%
Gestohlene Daten-Dumps
16%
Crimeware
15%
Gefälschte Dokumente
4%
Waffen
2%
Mord auf Bestellung
1%
Bild 32: Verteilung der im noramerikanischen Untergrund angebotenen Waren *
* Die klassifizierten Sites beschränken sich auf die während der Untersuchung analysierten.
31 | Der nordamerikanische Untergrund – Das gläserne Becken
Referenzen
1.
Akira Urano (2015), Trend Micro Security Intelligence „Der japanische Untergrund”,
http://www.trendmicro.de/media/wp/wp-the-japanese-underground-de.pdf
2.
Fernando Mercês (2014). Trend Micro Security Intelligence „The Brazilian Untergrund Market: The Market for
Cybercriminal Wannabes?”, http://www.trendmicro.de/media/wp/the-brazilian-underground-market-wp-en.pdf
3.
Max Goncharov (2015), Trend Micro Security Intelligence „Unterschlupf für Cyberkriminelle zu vermieten:
Bulletproof Hosting Services”, http://www.trendmicro.de/media/wp/wp-criminal-hideouts-for-lease-de.pdf
4.
Darknetmarkets.org (10. Juli 2015). Darknet Markets, „A Simple Guide to Safely and Effectively Tumbling
(Mixing) Bitcoins”, https://darknetmarkets.org/a-simple-guide-to-safely-and-effectively-mixing-bitcoins/
5.
Trend Micro (13. Oktober 2015), TrendLabs Security Intelligence Blog „FBI, Security Vendors Partner for
DRIDEX Takedown”,
http://blog.trendmicro.com/trendlabs-security-intelligence/us-law-enforcement-takedown-dridex-botnet/
6.
Trend Micr. (12. April 2015), TrendLabs Security Intelligence Blog „SIMDA: Ausschalten eines Botnets”,
http://blog.trendmicro.de/simda-ausschalten-eines-botnets/
7.
Dianne Lagrimas (9. April 2015) Trend Micro Security News, „Beebone Botnet Takedown: Trend Micro
Solutions”, http://www.trendmicro.com/vinfo/us/threat-encyclopedia/web-attack/151/beebone-botnettakedown-trend-micro-solutions
8.
WebMoney (1998). WebMoney. „Description: In Brief”,
http://www.wmtransfer.com/eng/information/short/index.shtml
32 | Der nordamerikanische Untergrund – Das gläserne Becken
E rs t e l l t v o n :
T h e G l o b a l Te c h n i c a l S u p p o r t a n d
R & D C e n te r o f T R E N D M I C R O.
TREND MICRO Deutschland GmbH
Zeppelinstrasse 1
85399 Hallbergmoos
Deutschland
Tel. +49 (0) 811 88990–700
Fax +49 (0) 811 88990–799
Über Trend Micro
Trend Micro, der international führende Anbieter für Cloud-Security, ermöglicht
Unternehmen und Endanwendern den sicheren Austausch digitaler Informationen.
Als Vorreiter bei Server-Security mit mehr als fünfundzwanzigjähriger Erfahrung
bietet Trend Micro client-, server- und cloud-basierte Sicherheitslösungen an.
Diese Lösungen für Internet-Content-Security und Threat-Management erkennen
neue Bedrohungen schneller und sichern Daten in physischen, virtualisierten und
Cloud-Umgebungen umfassend ab. Die auf der Cloud-Computing-Infrastruktur
des Trend Micro Smart Protection Network basierenden Technologien, Lösungen
und Dienstleistungen wehren Bedrohungen dort ab, wo sie entstehen: im Internet.
Unterstützt werden sie dabei von mehr als 1.000 weltweit tätigen SicherheitsExperten. Trend Micro ist ein transnationales Unternehmen mit Hauptsitz in Tokio
und bietet seine Sicherheitslösungen über Vertriebspartner weltweit an.
http://www.trendmicro.de/
http://blog.trendmicro.de/
http://www.twitter.com/TrendMicroDE
TREND MICRO Schweiz GmbH
Schaffhauserstrasse 104
8152 Glattbrugg
Schweiz
Tel. +41 (0) 44 82860–80
Fax +41 (0) 44 82860–81
TREND MICRO (SUISSE) SÀRL
World Trade Center
Avenue Gratta-Paille 2
1018 Lausanne
Schweiz
www.trendmicro.com
© 2016 Trend Micro Incorporated. Alle Rechte vorbehalten. Trend Micro und das Trend Micro T-Ball-Logo sind Marken oder eingetragene Marken von
Trend Micro Incorporated. Alle anderen Firmen- oder Produktnamen sind Marken oder eingetragene Marken ihrer jeweiligen Eigentümer.