Internetverkehr von 1,7 Millionen IPs manipuliert
Mehrere Botnets im Rahmen einer Betrugsbekämpfung zerschlagen
Krimineller Ad-Fraud-Ring erzielte in weniger als drei Jahren knapp 30 Millionen Dollar an betrügerischen Werbeeinnahmen
Das FBI machte einen massiven, mehrjährigen Betrug zunichte, bei dem Online-Kriminelle Botnets zur Manipulation des Internetverkehrs von 1,7 Millionen IP-Adressen verwendeten und so annähernd 30 Millionen Dollar an betrügerischen Werbeeinnahmen erzielten. F-Secure unterstützte die Operation, indem es Bedrohungsinformationen über die Malware-Kampagnen und Botnetze des Betrugs bereitstellte.
Der Ad-Fraud-Ring, der in einem von US-CERT veröffentlichten Advisory als "3ve" beschrieben wird, arbeitet seit Ende 2015 und baut zwei verschiedene Botnets auf, indem er Kovter- und Boaxxe-Malware über Spam-E-Mails und Drive-by-Downloads an Einzelpersonen verbreitet. 3ve nutzte diese Botnetze, um den Internetverkehr zu manipulieren und an Online-Anzeigen zu leiten, die unter dem Vorwand liefen, dass der Verkehr von echten Besuchern kam. Schätzungen gehen davon aus, dass die Botnets von 3ve es ihnen ermöglichten, den Internetverkehr von etwa 1,7 Millionen IPs zu manipulieren.
Wie das US-Justizministeriums in einer Pressemitteilung gestern erklärte, untersuchten die Beamten des FBIs 89 Server und 31 Domains, um die Botnetze auf zu lösen. Sie beschlagnahmten auch Bankkonten, die der Gruppe gehörten. Die Operation führte zu mehreren Anklagen gegen acht Personen.
F-Secure arbeite mit FBI eng zusammen
F-Secure hatte eine im FBI geleiteten Einsatz unterstützende Rolle, indem es Teile der Botnets und Malware-Kampagnen von 3ve für die Behörden freilegte.
"3ve verteilt Spam mit fehlgeschlagenen Zustellbenachrichtigungen, was heutzutage ein häufiger Angriffsvektor ist. Benutzer öffnen einen Anhang oder klicken auf einen Link und sind am Ende mit Kovter, Boaxxe oder sogar beidem infiziert", sagt Paivi Tynninen, Sicherheitsforscherin bei F-Secure. "3ve verwendet auch Malvertising, das Benutzer zu falschen Software-Updates weiterleitet, und die Opfer dazu bringt, Kovter zu installieren, was eine ziemlich beliebte Social-Engineering-Methode ist."
3ve nutzte das Boaxxe Botnet als Proxy für betrügerische Anzeigenanfragen, die von ihrem eigenen Rechenzentrum in Deutschland gesendet wurden. Das Kovter-Botnet war ein Netzwerk von infizierten PCs den 3ve nutze, um den Traffic diskret auf ihre Anzeigen lenken zu können.
Ad-Fraud könnte bis 2025 150 Milliarden US-Dollar pro Jahr erbeuten
Das Ausmaß des Internetverkehrs mit diesen Botnetzen half 3ve, Käufer davon zu überzeugen, dass ihre Anzeigen von unzähligen Menschen gesehen wurden. Es ist eine Art von Betrug, von dem viele nicht wissen, dass er stattfindet. Es handelt sich aber um eine Art von Cyberkriminalität, die ziemlich verbreitet ist. Ein Bericht der World Federation of Advertisers aus dem Jahr 2016 prognostizierte, dass die Einnahmen aus Werbebetrug bis 2025 auf 50 bis 150 Milliarden Dollar pro Jahr ansteigen werden.
"Ad-Fraud ist vielleicht kein sehr drängendes Thema. Aber es kostet vielen Unternehmen viel Geld, und diese Kosten werden schließlich an die Verbraucher weitergetragen", sagt Sean Sullivan, Sicherheitsberater bei F-Secure. "Von dieser Art von Operationen profitieren nicht nur Unternehmen oder Werbetreibende, sondern so ziemlich jeder, der im Internet unterwegs ist."
Während die Operation des FBIs den Betrieb von 3ve erfolgreich unterbunden hat, ist es auf Grund der Hartnäckigkeit der heutigen Botnetze schwierig zu urteilen, ob 3ve für immer vernichtet wurde oder nicht.
Und Sullivan betont, dass, obwohl viele Unternehmen zu der Operation beigetragen haben, sie nach wie vor Hilfe von einzelnen PC-Benutzern benötigen, um sicherzustellen, dass 3ve nicht zurückschlagen kann.
"Die meisten modernen Botnetze verfügen über ziemlich ausgefeilte Backends, die extrem resistent gegen deren Bekämpfung sind. Infizierte PCs können für den Wiederaufbau verwendet werden. Daher ist es sehr wichtig, dass Einzelpersonen ihre PCs überprüfen und die Malware entfernen, wenn sie eine Infektion entdecken", sagt Sullivan. (F-Secure: ra)
eingetragen: 08.12.18
Newsletterlauf: 07.01.19
F5 Networks: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.