USA besetzt gesamtes Treppchen im Rating der „schlechten“ Hosts

Die Non-Profit-Organisation HostExploit hat ihren Bericht über schädliche Aktivität in AS-Netzen mit Stand September 2013 veröffentlicht. Alle drei „Spitzenplätze“ in der neuen unrühmlichen Hitliste der Тор 50 belegten erstmals Hosts, die alle in ein und demselben Land registriert sind – den USA.

Die Aktivisten beobachten seit dem Jahr 2009 verdächtige Aktivität in öffentlichen Autonomen Systemen, indem sie Daten über infizierte Websites, Steuerungsserver von Botnetzen, Phishing-Fallen, Spamquellen usw. sammeln. Im Lauf der Untersuchungen wurde eine Methodik zur Indizierung der „Erfolge“ von AS-Providern in unterschiedlichen Kategorien entwickelt und vervollkommnet, die es ermöglicht diese nach dem Gesamtlevel der Verschmutzung unter Berücksichtigung der Größe des zugehörigen Adressraums zu vergleichen. Die Ergebnisse seiner Analyse veröffentlicht HostExploit in Form von Quartalsberichten mit dem aktualisierten Rating der „Тор 50 der ‚schlechten‘ Hosts und Netze“. Dabei unterstreichen die Teilnehmer des Projekt jedes Mal aufs Neue, dass die Inhaber der AS-Netze häufig nicht in die kriminelle Aktivität involviert sind. Die Aufstellung der Тор 50 dient einem einzigen Ziel: Das Rating soll auf Probleme aufmerksam machen, von deren Existenz der Provider möglicherweise gar nichts ahnt, und ihn so dazu zu bringen, adäquate Maßnahmen zu ergreifen.

Zum gegenwärtigen Zeitpunkt befinden sich in der Datenbank von HostExploit mehr als 44.500 öffentliche AS‑Systeme. Die neuen Top 50 der gefährlichen Hosts werden von drei amerikanischen Providern angeführt: HostDime.com (AS3318), New Dream Networks (AS26347) und Landis Holdings (AS11042). Das ganze Trio zeigte betrübliche Resultate in den Kategorien „Badware“ (Spionagesoftware, Werbung zeigende Programme, gefälschte Antivirenlösungen, potentiell unerwünschte Programme usw.) und „Infizierte Websites“. Insgesamt entfielen auf die USA – ebenso wie zu Beginn des Jahres – 13 Positionen in den Тор 50. Der frühere Spitzenreiter dieser unrühmlichen Hitliste, das holländische Ecatel (AS29073), rutschte auf den 5. Platz ab. Unter den ersten zehn der Top 50 waren auch zwei deutsche Provider: Intergenia (AS8972, 6. Platz) und 1&1 Internet (AS8560, 9. Platz), in dessen Netzen eine Vielzahl von Exploit-Plattformen gefunden wurde (3. Platz in dieser Kategorie).

Russlands Präsenz in den Тор 50 blieb mit 8 Positionen ebenfalls unverändert. Unter den ersten Zehn befindet sich nur ein Provider aus diesem Land ― Agava (AS 43146, Platz 8), der sich besonders in den Kategorien „Badware“, „ZeuS-C&C“ und „Infizierte Websites“ hervortat. Insgesamt befinden sich nach Angaben von HostExploit viele C&C unterschiedlicher Botnetze auf russischem Territorium, obgleich die Aktivisten im Berichtszeitraum auf der ganzen Welt insgesamt nur 124 solcher Vorfälle registrierten. Die ersten zwei Plätze in dieser Kategorie behaupten die russischen Unternehmen IQ Host (AS50465), das das unrühmliche Rating schon länger als ein Jahr anführt, sowie SOTAL Interactive (AS61322). Der Letztgenannte, ein Anbieter von Dienstleitungen in den Bereichen IP-TV und Content-Bereitstellung, zählt in seinem Netz lediglich 256 IP-Adressen, ist in der Ukraine registriert sind und wird außerhalb der Grenzen Russlands gehostet. Platz vier nach Konzentration von C&C belegt ein weiteres, nicht sonderlich großes russisches AS-Netz- ISPsystem (AS29182) -, das in Luxemburg registriert ist und ein ukrainisches Web-Hosting nutzt.

In der Kategorie „ZeuS“ ist Russland nur einmal unter den ersten Zehn vertreten, und zwar auf Position sechs. Der Schuldige ist, wie früher auch schon, das auf den Seychellen registrierte Netz Ideal Solution (AS58001). Unter dem Strich konnte dieses Unternehmen seine Ergebnisse aber wesentlich verbessern und belegt daher nun nach dem zweiten den 35. Platz in den Тор 50. HostExploit weist darauf hin, dass die Gesamtzahl der entdeckten ZeuS-C&C praktisch unverändert blieb: Allem Anschein nach ist dieser Banker im cyberkriminellen Milieu nach wie vor sehr beliebt.

In den TOP 10 nach Exploits entfielen auf Russland 3 Positionen, darunter die ersten zwei (Masterhost und Best-Hoster Group). In der Kategorie „Spam“ blieben russische Unternehmen außerhalb der TOP 10, selbst „MegaFon“, das im vergangenen Jahr vier Plätze in dieser Kategorie belegte, war nicht unter den ersten Zehn. Innerhalb der vergangenen Untersuchungsperiode analysierten die Experten mehr als 100.000 Spamquellen und fanden dabei heraus, dass sich die meisten von ihnen in Ländern mit einer nur schwachen Anti-Spam-Gesetzgebung befinden: Peru, Indien, Mexiko, Bolivien, Iran, Sudan. Trotzdem waren in den TOP 10 nach diesem Wert auch die folgenden Länder vertreten: Irland (Positionen 1, 3, 9), Deutschland (AS57879, Platz 5) und die USA (das in Indonesien registrierte AS45727).

Das aktuelle Phishing-Rating wurde aufgrund einer Analyse von 799 einzelnen Attacken zusammengestellt. Hier überwiegen Länder mit zuverlässigem Hosting und schnellem Internet, in erster Linie die USA. Amerikanische Unternehmen, unter anderem das Führungstrio des allgemeinen Ratings und auch Google, belegen in den Тор 10 gleich sieben Positionen. Auf dem zweiten Platz landete ein deutsches AS, auf dem siebten ein britisches.

Das Rating der Herkunftsländer von schädlicher Aktivität wird von den Britischen Jungferninseln angeführt, die auch die ersten Plätze in den Kategorien „Infizierte Websites“, „C&C“ sowie „Current Events“ belegen – Messung von sich schnell ändernden Angriffsbereichen, wie etwa XSS und Clickjacking. Die zweite Position belegt Polen (Platz zwei in der Kategorie Phishing), auf Platz drei befindet sich Russland. Es folgen Ungarn (1. Platz nach Phishing), Deutschland, Kirgisien, die Türkei, die Seychellen (1. Platz nach Konzentration von Exploits, zweiter Platz in der Kategorie „Infizierte Websites“). Die USA rutschten im Länder-Rating von Platz fünf auf die neunte Position ab, größtenteils dank der Erfolge der Netze AS21740 eNom und AS33626 Oversee, die nicht mehr in den Тор 50 vertreten sind. Abgeschlossen wird diese unehrenhafte Liste von der Ukraine, die zu Beginn des Jahres noch Platz 3 belegte.

Der neue Bericht von HostExploit steht auch in englischer, deutscher und spanischer Sprache kostenlos zum Download bereit.

Quelle: HostExploit

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.