Cyberkriminelle ändern ihre Taktiken: Anstatt auf die Angebote fragwürdiger Provider oder allgemein zugänglicher Hosting-Dienste zuzugreifen, gehen sie zunehmend dazu über, eigene Rechenzentren aufzubauen. So sollen Takedowns erschwert werden.
IMG Removed
Sicherheitsexperten und Ermittlungsbehörden versuchen seit Jahren, Provider, bei denen Cyberkriminelle ihre Dienste hosten, zum Entfernen dieser Inhalte zu bewegen oder aber diese Provider gleich ganz vom Netz zu nehmen. Immer wieder ist ihnen dies auch gelungen - mit teilweise schmerzhaften Folgen für diejenigen, die beispielsweise die Kontrollserver ihres Botnets verloren. Daher ergreifen die Cyberkriminellen nun die Eigeninitiative und benutzen eigene Rechenzentren.
Normalerweise würde sich dabei eine Schwierigkeit ergeben: um den benötigten IP-Adress-Bereich zugeteilt zu bekommen, sind normalerweise umfassende Dokumente nötig - darunter auch eine Dokumentation, wofür man die IP-Adressen benötigt. Den findigen Untergrund-Unternehmern gelingt es aber immer wieder, Vergabestellen zu finden, die es nicht so genau nehmen, sich nicht für die Cybercrime-Bekämpfung zuständig fühlen oder denen für eine gründliche Recherche über ihre potentiellen Kunden schlicht die Ressourcen fehlen. Somit reicht oft ein einfacher Brief mit irgendeinem erfundenen Verwendungszweck für die benötigten IP-Adressen, um die begehrten Adressen zu bekommen. "Es ist komplett aus dem Ruder gelaufen. Die bösen Jungs gehen zu irgendeiner lokalen Registrierungsstelle in Europa und bekommen riesige IP-Adress-Bereiche und dann gehen sie zu irgendeinem Hosting-Dienstleister und bauen ihre eigenen Rechenzentren auf," erklärt Alex Lanstein, Sicherheitsforscher bei der Firma FireEye, die sich auf Software zur Bekämpfung von Malware und Botnets spezialisiert hat.
Durch diese Strategie, so Lanstein, soll ein weiterer möglicher Angriffspunkt bei der Bekämpfung cyberkrimineller Aktivitäten eliminiert werden. Der Provider, sonst ein möglicher Ansprechpartner für die White Hat-Fraktion oder für von Angriffen geplagte Nutzer, fällt bei dem neuen Schema komplett weg. Das Schreiben sogenannter Abuse-Mails, vielen Administratoren vertraut, wird so vollkommen nutzlos.
Ist der Adressbereich einmal vergeben, ist es sehr schwierig, ihn wieder zurückzubekommen. Solange sie eine sinnvolle und profitable Verwendung dafür haben, behalten die Cyberkriminellen ihre IP-Adressen. Allerdings landen Adressbereiche, von denen permanent Angriffe ausgehen, oft nach einiger Zeit auf Blacklists - viele Provider und Unternehmen weigern sich, Datenverkehr von diesen Adressbereichen anzunehmen. An sich eine sinnvolle Taktik - aber sie führt dazu, dass die Kriminellen den Adressbereich früher oder später aufgeben. Danach muss der Adressbereich in einem langwierigen Verfahren wieder freigegeben werden - und von den Blacklists entfernt, denn kein legitimer Benutzer möchte IP-Adressen, die auf zahlreichen Blacklists zu finden sind.
Sicherheitsexperten gehen sogar davon aus, dass diese Taktiken mit zur Knappheit von IPv4-Adressen beitragen. Diese sollen nach den meisten Schätzungen schon in unter zwei Jahren aufgebraucht sein.
Lösungen für die Problematik derartiger betrügerischer Aktivitäten: bisher Fehlanzeige. Dieses Problems werden sich Sicherheitsexperten wohl im kommenden Jahr annehmen müssen.
Quelle: Gulli
