Veranstaltungen

Microsoft beschlagnahmt 22 NO-IP-Domains und durchkreuzt Malware-basierte APT-Operationen von Cyberkriminellen und Nationalstaaten

NO-IP ist einer von vielen Dynamic DNS-Providern da draußen, die kostenlos genutzt werden können, um eine Subdomain auf so populären Domain-Namen wie “servepics.com” oder “servebeer.com” zu registrieren. Für eine recht lange Zeit war das die Lieblingsmethode von Cyberkriminellen, die leicht zu aktualisierende Hostnamen registrieren wollten, um ihre Malware-Implantate zu kontrollieren. Gestern ging Microsoft gegen NO-IP vor und beschlagnahmte 22 seiner Domains. Das Unternehmen strengte zudem einen Zivilprozess an gegen “Mohamed Benabdellah und Naser Al Mutairi sowie ein U.S.-Unternehmen, Vitalwerks Internet Solutions, LLC (die dieselben Geschäfte betreiben wie No-IP.com), für ihre Rollen, die sie bei der Entwicklung und Kontrolle von Schadprogrammen spielen, sowie für ihre Unterstützung bei der Infektion von Millionen von Computern mit Malware, wodurch Microsoft, seine Kunden und die Öffentlichkeit insgesamt geschädigt werden.”

Interessanterweise führte Microsoft zwei spezielle Malwarefamilien an, die benutzt wurden, „um unschuldige Opfer mit den Schadfamilien Bladabindi (NJrat) und Jenxcus (NJw0rm) zu infizieren”. Diese wurden von zahlreichen Cyberkriminellen und Aktivistengruppen benutzt, um Anwender anzugreifen, unter anderem auch von der berühmt-berüchtigten Syrian Electronic Army. (Bleiben Sie dran – ein ausführlicher Blog hierzu folgt demnächst!).

Hinzu kommt, dass die Beschlagnahme viele andere ATP-Operationen außer Gefecht gesetzt hat, die NO-IP für ihre C&C-Infrastruktur genutzt haben. Darunter auch die folgenden:

Unserer Statistik zufolge hat die Beschlagnahme mindestens 25% aller ATP-Gruppen, die wir beobachten, in irgendeiner Weise beeinträchtigt. Einige dieser Hosts, die früher in umfangreichen und raffinierten Cyberspionage-Operationen verwendet wurden, verweisen nun auf ein Microsoft-Sinkhole bei 204.95.99.59.

Zu den Top Level Domains, die von Vitalwerks konfisziert wurden, gehören unter anderem:

  • BOUNCEME.NET
  • MYFTP.BIZ
  • MYVNC.COM
  • NO-IP.BIZ
  • NO-IP.INFO
  • REDIRECTME.NET
  • SERVEBEER.COM
  • SERVEBLOG.NET
  • SERVECOUNTERSTRIKE.COM
  • SERVEGAME.COM
  • SERVEHALFLIFE.COM
  • SERVEHTTP.COM
  • SERVEMP3.COM
  • SERVEPICS.COM
  • SERVEQUAKE.COM
  • SYTES.NET

Unterdessen haben NO-IP / Vitalwerks ihre Reaktion online veröffentlicht:

“Offensichtlich ist die Microsoft-Infrastruktur nicht in der Lage, die Milliarden von Anfragen unserer Kunden zu verarbeiten. Millionen unschuldiger User mussten Ausfälle hinnehmen, weil Microsoft versucht hat, Hostnamen zu beseitigen, die mit einigen wenigen übelmeinenden Akteuren in Verbindung gebracht werden.”

Wir sind der Meinung, dass die gestrigen Ereignisse vielen Cyberkriminellen und APT-Operationen auf der ganzen Welt einen schweren Schlag versetzt haben.

Es ist anzunehmen, dass diese Gruppen künftig in Bezug auf die Nutzung von Dynamic DNS Providern zurückhaltender sein werden und sich dafür häufiger auf gehackte Websites und direkte IP-Adressen verlegen werden, um ihre C&C-Infrastruktur zu verwalten.

Follow me on Twitter

Microsoft beschlagnahmt 22 NO-IP-Domains und durchkreuzt Malware-basierte APT-Operationen von Cyberkriminellen und Nationalstaaten

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach