RIG immer besser, Neutrino tritt ab

In den letzten Monaten beobachten Experten eine Migration von Schadkampagnen, die Exploit-Packs nutzen, von Neutrino zu RIG. Der französische Forscher Kafeine wies zudem darauf hin, dass das Ziel solcher Attacken immer häufiger die Ansiedlung von Bank-Trojanern (ZeuS Panda, Gootkit, Betabot) auf den betroffenen Systemen ist, und nicht von Ransomware, wie es vorher der Fall war.

Kafeine unterstreicht überdies, dass die Betreiber von RIG nicht nur die Nische besetzen, die durch das Einstellen der Aktivität von Neutrino entstanden ist, nachdem diesem Exploit-Pack Ende August durch Cisco mit Hilfe von GoDaddy ein entscheidender Schlag versetzt worden war, sondern sie unternehmen vielmehr auch alle erdenklichen Anstrengungen, um ihre Position auf dem Markt der Exploit-Packs zu festigen. So hat eine Analyse gezeigt, dass RIG derzeit ein System zur Verteilung des Traffics, ein Traffic Distribution System (TDS) verwendet, das es ermöglicht, verschiedene Payloads in einem Strom zu vereinigen, wobei sie in Abhängigkeit vom Betriebssystem-Typ, vom Browser und dem geografischen Standort des Opfers variieren können, und das zudem die Arbeit mit dem Traffic-Anbieter erleichtert. Die Technologie TDS tauchte laut Kafeine zusammen mit Blackhole auf dem Markt für Exploit-Packs auf und verschwand zusammen mit Angler und Nuclear wieder.

Am neunten September verbreitete sich nach Angaben von Kafeine im Netzuntergrund eine Jabber-Nachricht des Neutrino-Anbieters: „we are closed. no new rents, no extends more“ („wir haben geschlossen. keine weiteren Vermietungen mehr, auch keine Verlängerungen.“). Mitte September entdeckte das Monitoring-System von Kafeine eine neue RIG-Version mit modifizierter Obfuskation der Landing-Pages, mit RC4-Verschlüsselung der Payload, Neutrino-artigem Verhalten und einem zusätzlichen Exploit – für die Schwachstelle CVE-2016-0189. RIG wurde zudem eine Weiße Liste von IP-Adressen hinzugefügt, für die der Aufruf seiner API erlaubt ist. Diese Maßnahme soll die Entdeckung und das Blockieren von Seiten mit Exploits verhindern.

Das Auftauchen der verbesserten RIG-Version (einer VIP-Version, wie Kafeine sie nennt) hat das weitere Schicksal von Neutrino endgültig besiegelt. Um den 22. September herum gab es im Cyberuntergrund nicht eine Anzeige oder ein Werbebanner mehr, das irgendwie mit diesem Exploit-Pack in Verbindung steht. Trotzdem registrierte Kafeine etwa zur selben Zeit ein stabiles Infektionsschema unter Verwendung von Neutrino; die dahinter stehenden Cyberverbrecher waren offensichtlich nicht gewillt, die gewohnten Services zugunsten von RIG zu opfern. Die entsprechende Malvertising-Kampagne lief in Südkorea und Taiwan ab, Ziel der Kampagne war die Verbreitung der Ransomware Cerber.

Nach Ansicht von Kafeine ist es durchaus möglich, dass Neutrino nun einfach in den privaten Bereich überführt wurde, so wie es sich derzeit auch bei dem Exploit-Kit Magnitude beobachten lässt, das in den asiatischen Ländern äußerst aktiv ist. Für diese Vermutung spricht auch die Aktivitätspause von Neutrino im Jahr 2014, als das Pack Kafeine zufolge im März von der Internet-Bühne verschwand und im Dezember erneut auf den Plan trat.

Auch bei Heimdal Security und im Internet Storm Center SANS wurde im September ein steiler Anstieg der RIG-Aktivität registriert. Insbesondere stellten die Forscher vom ISC SANS Ende vergangenen Monats fest, dass die Autoren einer von ihnen beobachteten Schadkampagne mit dem Namen Afraidgate von Neutrino auf RIG umgestiegen waren. Das Ziel des Exploits im Rahmen von Afraidgate ist derzeit die Ansiedlung der neusten Variante des Erpresser-Trojaners Locky, die die Experten vom ISC SANS Odin nennen (nach der neuen Erweiterung, die den verschlüsselten Dateien angehängt wird).

Quelle: Malware don’t need coffee

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.