Niederländische, finnische und US-amerikanische Behörden haben gemeinsam weitere wichtige Werkzeuge der Malware-Industrie vom Netz genommen. Ihre Aktion richtete sich gegen AVCheck und zwei "Cryptor"-Sites zur Verschlüsselung von Schadsoftware.
Im stark arbeitsteiligen Malware-Ökosystem gibt es wie auch in der legalen Softwareindustrie Spezialisten für jede Aufgabe bei der Entwicklung von Schadsoftware. AVCheck diente gleichsam als "dunkles Gegenstück" zu Portalen wie VirusTotal, auf denen Administratoren und Sicherheitsforscher Malware-Dateien zur Untersuchung durch Virusscanner und Sandbox-VMs hochladen können. Während jedoch bei VirusTotal jede Datei gespeichert und somit schon einmal ein versehentlich hochgeladenes Malware-Sample identifiziert wird, konnten Malware-Autoren sich bei AVCheck auf Diskretion verlassen. Diese ließen sich die Betreiber bezahlen.
Zusätzlich zu AVcheck sind die "Cryptoren" crypt.guru und cryptor.biz ebenfalls offline. Auf diesen Domains konnten Autoren von Schadsoftware diese derart verschlüsseln lassen, dass sie für Antivirus-Software unauffindbar ist – ein weiterer Bestandteil des sogenannten "Counter Antivirus" (CAV).
Domains beschlagnahmt, Logins umgeleitet
Im Rahmen der internationalen "Operation Endgame 2.0" gingen internationale Ermittler Test-Abos bei den Malware-Dienstleistern ein und schlugen dann am 27. Mai zu. Sie stellten auch Verbindungen zu bekannten Ransomware-Gruppen fest und platzierten – wie bei derlei Aktionen üblich – Beschlagnahmungsbanner und gefälschte Login-Seiten auf den Domains der Malware-Tools.
Malware-Experte Andreas Marx ordnete die Ermittlungserfolge im Gespräch mit heise security ein: "Portale wie VirusTotal helfen bei der schnellen Identifizierung von Schädlingen und ermöglichen die Weitergabe von Wissen zu Malware. AVCheck.net hingegen diente nur dazu, die Malware und die Angriffe so zu optimieren, dass sie eben möglichst lange unentdeckt bleiben und man die infizierten PCs möglichst lange melken kann."
In mehreren konzertierten Aktionen gegen das Malware-Ökosystem haben westliche Behörden in den vergangenen Wochen hunderte Server ausgehoben, Millionen E-Mail-Aadressen und Passwörter sichergestellt und Fahndungsaufrufe gegen Dutzende Verdächtige veröffentlicht.
(cku)
English (US) ·