HostExploit: Russland in puncto verschmutzte Ressourcen erneut Spitzenreiter

Die nicht kommerzielle Organisation HostExploit hat einen Bericht über schädliche Aktivität in AS-Netzen nach den Ergebnissen des vierten Quartals 2012 veröffentlicht. In dieser Statistik sind traditionell die TOP 50 der Hosts/Netze und die TOP 10 der Länder mit der höchsten Konzentration an gefährlichem Content vertreten. Das Land, das in dieser Hinsicht am schlechtesten abschneidet, ist bereits das dritte Quartal in Folge Russland.

Das von HostExploit entwickelte Indizierungssystem schließt eine Vielzahl von Parametern ein und berücksichtigt nicht nur die Zahl der schädlichen Objekte auf den Servern, sondern auch die Gesamtzahl der IP-Adressen im AS-System. Dabei weisen die Experten jedes Mal aufs Neue ausdrücklich darauf hin, dass die Vertreter aus den TOP 50 in den meisten Fällen nicht in kriminelle Aktivitäten verwickelt sind. Diese vierteljährliche Statistik wird nur zu einem einzigen Zweck veröffentlicht – die Aufmerksamkeit auf Probleme zu lenken, von deren Existenz der Provider möglicherweise nicht die leiseste Ahnung hat, und ihn so zu einer adäquaten Reaktion zu animieren.

Den ersten Platz in den TOP 50 für den Zeitraum von Oktober bis Dezember 2012 belegte das kleine holländische Netz Ecatel (AS29073), das bereits in der Vergangenheit mehr als einmal diese unrühmliche Position eingenommen hat. Zweiter auf dem Treppchen wurde der kleine russische Hosting-Provider Ideal Solution (AS58001), der auf den Seychellen registriert ist. Seine Ressourcen werden von Cyberkriminellen in erster Linie für den Versand von Spam und die Steuerung von Botnetzen – inklusive ZeuS – ausgenutzt. Unter den ersten zehn waren auch die großen Betreiber Beltelecom (Weißrussland, Platz 3) und OVH Systems (Frankreich, Platz 5) sowie der deutsche Provider Hetzner Online (6. Platz). In den weltweiten TOP 50 entfielen auf die USA 13 Positionen, auf Russland insgesamt 8.

Die Kategorie „Infizierte Websites“ wird mit großem Abstand von dem größten russischen E-Mail-Anbieter Mail.ru angeführt. Nach Einschätzung von HostExploit ist die Zahl der schädlichen URL in Besitz dieses Unternehmens innerhalb des Quartals drastisch angestiegen, so dass es gleich um 10 Positionen nach oben schnellte und somit Einzug in die TOP 50 hielt. In den TOP 10 nach infizierten Websites finden sich ebenfalls so bekannte Namen wie Amazon.com (4. Platz) und Google (7. Platz).

Innerhalb des Berichtzeitraums entdeckten die Ermittler 132 Steuerungszentren von verschiedenen Botnetzen. Die TOP 10 nach diesem Wert werden von dem Moskauer Provider IQ Host (AS50465) angeführt, dessen Ressourcen anderthalb Jahre zuvor aktiv von den ZeuS-Botnetzbetreibern ausgenutzt wurden. Position zwei in dieser Kategorie belegte der Neueinsteiger SOTAL Interactive (AS61322), der auf den Bereich IP-TV und Bereitstellung von Content spezialisiert ist. Dieses russische AS-Netz zählt eine grenzwertig geringe Anzahl an IP-Adressen (256), ist in der Ukraine registriert und wird außerhalb Russlands gehostet.

In der Kategorie „C&C ZeuS“ steht das russische Unternehmen Ideal Solution (AS58001) an erster Stelle, in dessen Netzen vier derartige Server gefunden wurden. Auf Russland entfielen in diesem Rating drei von zehn Positionen.

In den Spam-TOP 10 fand sich nicht ein einziges indisches Unternehmen, obgleich Indien im vorangegangenen Quartal die Hälfte der zehn Positionen eingenommen hatte. Die Liste wird nun von einem kleinen ukrainischen Hosting Provider mit dem Namen FOP Smovskaya Valentina Ivanovna (AS197774) angeführt, gefolgt von dem weißrussischen Giganten Beltelecom. Die Spammer nutzen zudem aktiv Ressourcen anderer großer Telefongesellschaften aus, und zwar Kazakhtelecom (4. Platz) und Telefonica del Peru (7. Platz). Bemerkenswert ist, dass der dritte Platz im Spam-Rating von dem holländischen CB3ROB (AS34109) alias Cyberbunker belegt wird. Dieser Name tauchte vor kurzem im Zusammenhang mit der bisher größten DDoS-Attacke auf, deren Hauptziel Spamhaus war – eine Organisation zur Bekämpfung von Spam.

Vier Positionen in den ТOP 10 nach Phishing-Plattformen – inklusive Platz eins und zwei – belegen amerikanische AS-Netze. Auf Platz sieben dieses Ratings landete erneut Google.

Wie bereits oben erwähnt, führt Russland erneut die TOP 10 der Länder nach der insgesamt stärksten schädlichen Gesamtaktivität an. Dieses Land ist Spitzenreiter in den Kategorien „Infizierte Websites“, „Badware“ (Spionagesoftware, Werbeprogramme, Fake-AV-Lösungen, PUP usw.) und belegt zudem Position zwei nach Konzentration von Botnetz-Steuerungszentren. Auf Russland folgt Weißrussland, das in puncto Spam führend ist und über eine große Anzahl von infizierten und Phishing-Sites verfügt. Position 3 belegt die Ukraine, im vorangegangenen Quartal noch auf Platz 5. Die ukrainischen AS-Netze sind in der Welt des Spams die zweitplatzierten – in ihnen gibt es eine Vielzahl von Botnetz-Steuerungszentralen, unter anderem von ZeuS. In die TOP 10 der Länder sind die Jungfraueninseln (1. Platz nach Exploit-Plattformen) sowie die USA zurückgekehrt, die drei Quartale lang nicht in dieser unrühmlichen Hitliste vertreten waren. Im vierten Quartal entdeckte HostExploit in den amerikanischen AS-Netzen eine Vielzahl von infizierten Websites und Steuerungsservern von ZeuS. Das geografische Rating wurde von den Experten unter Berücksichtigung der Gesamtzahl der IP-Adressen und der Zahl der Vorfälle in allen AS-Netzen des jeweiligen Landes erstellt.

Der Quartalsbericht wurde unter Mitwirkung der Experten des russischen Unternehmens Group-IB, der dänischen Firma CSIS und der deutschen Cyscon verfasst. Die TOP 50 der „schlechten“ Hosts und Netze wurde auf der Grundlage einer Analyse von mehr als 43.000 registrierten autonomen Systemen erstellt. Der vollständige Bericht ist in englischer und deutscher Sprache verfügbar.

 

Quelle:

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.