Vorfälle

ψ² = Ps(i)²

Neues für die Cybercrime-Preisliste: GOLDEN CA$H

Der Security-Anbieter finjan hat seinen Cybercrime Intelligence Report veröffentlicht, in dem er über die Botnetz-Plattform Golden-Cash berichtet. Die Liste für die Preise bezieht sich jeweils auf 1000 infizierte PCs. 1000 Bots in Deutschland: 30$; Mindestpreis 5$; Höchstpreis 100$; Russische Bots gibt es geschenkt und ein Ländermix ist für 20$ zu haben. Das erweitert die Preisliste für Cybercrime, die ich mit den Beiträgen Was kostet den nun ein Angriff und Für 55 Millionen Dollar kostenlos telefonieren begonnen habe.

GOLDEN CASH Logo

Heise security titelt treffend: Ein Botnetz? Geschnitten oder im Stück? Zusammengefasst ergibt das die folgende Liste:

Admin-Account im Online-Shop mit bis zu 6500 Kunden
30$

DDOS-Angriff auf einen Webauftritt
50$ pro Tag

200 VISA-Kreditkarten Hologramme
1500$

Hologramme von Mastercard und VISA
6$ pro Stück (Mindestbestellmenge: 3; zzgl. Versand: 50$-75$)

Escrow Viren-Variante
350$

Gehackte Telefonanlage für kostenlose Ferngespräche
100$

1000 Bots in Deutschland via Golden Cash
30$

1000 Bots in Australien via Golden Cash
100$

1000 Bots im Ländermix via Golden Cash
20$

Lesen Sie mehr →

ψ² = Ps(i)²

Für 55 Millionen Dollar kostenlos telefonieren

DAS hört sich verlockend an – außer für den, dem die Einnahmen in gleicher Höhe entgehen. Brian Krebs berichtet in seinem Blog über die Anklageerhebung durch das US-Justizministerium gegen drei Verdächtige, denen vorgeworfen wird tausende privater Telefonanlagen gehackt und dann die Nutzung dieser Anlagen über Callcenter in Italien verkauft zu haben – gegen einen kleinen Obulus für die Hacker versteht sich. Zugang zu den Telefonanlagen erhielten die Angreifer über voreingestellte Herstellerpasswörter, die von den zahlenden Kunden nicht geändert worden ware. Entstandener Schaden: 55 Millionen Dollar!

Das sind zwölf Millionen Minuten internationaler Telefongespräche über den Zeitraum von 2005 bis 2008. Die Anklageschrift können Sie ebenfalls bei Brian Krebs herunterladen.

100$ musste das Callcenter in Italien für jeden Account bezahlen. Das erweitert die Preisliste, die ich vor zwei Tagen hier gepostet hatte.

Lesen Sie mehr →

ψ² = Ps(i)²

Was kostet denn nun ein Angriff?

30$ für einen Admin-Account im Online-Shop mit 10-6500 Kunden inklusive deren Kreditkarteninformationen. Oder 50$ pro Tag für einen DDOS-Angriff auf einen Webauftritt. 200 VISA-Kreditkarten Hologramme? Kein Problem: 1500$. Lieber die Hologramme von Mastercard und VISA? Nichts leichter als das: 6$ pro Stück (Mindestbestellmenge: 3; zzgl. Versand: 50$-75$). Oder wollen Sie einen eigenen Virus? Eine Escrow-Variante gibt’s für 350$.

So waren die üblichen Preise auf DarkMarket. Bezahlung jeweils bequem über e-gold.com. Die passenden Screenshots findet man im f-secure.com Weblog. Interessanter wird es, wenn es, wie im folgenden Beispiel, preislich in die Millionen geht.

Im Wiki für durchgesickerte Informationen WikiLeaks wurde vor kurzem ein Lösegeld von 10 Millionen Dollar gefordert. Lösegeld? Was wurde denn gekidnappt? Die Daten von über acht Millionen Patienten aus dem Bundesstaat Virginia. Besonders ärgerlich: Der Hacker hat die Daten gelöscht und die Backups verschlüsselt – das Passwort gibt’s nach der Überweisung des Lösegelds.

The Register berichtete bereits im November 2008 von einer Belohnung, die für Hinweise zu einer Cyber-Erpressung ausgesetzt wurde: Eine Millionen Dollar! Die Betroffenen haben also längst zum finanziellen Gegenangriff geblasen.

Stellt sich die Frage, ob der Datenverlust für ein Information-Security-Budget von einer Millionen Dollar nicht zu verhindern gewesen wäre? Die Zahlen sind übrigens ganz nett für eine Musterrechnung zum Return on Information Security Invest nach Mizzi.

Lesen Sie mehr →

ψ² = Ps(i)²

Wer hat an der Uhr gedreht…

…oder besser: Wer hat die Datei verdreht! Was des einen Leid mit manipulierten Dateien ist des anderen Freud. Diese Woche wurde einiges zu verdrehten Dateien gepostet und nicht alle rufen gleich Viren und Würmer auf den Plan.

Didier Stevens schreibt “Look mommy, no hands“, und meint damit, dass er ohne Zutun des Opfers mit einer manipulierten PDF-Datei einen komplett gepatchten Windows XP SP2 Client mit Adobe Reader 9.0 unter seine Kontrolle bringt. Dazu nutzt er die /JBIG2 Schwachstelle. Schon im März hatte der Security-Resercher drei Methoden vorgestellt, bei denen zwar keine Datei geöffnet werden, aber das Opfer immerhin noch passiv mitwirken musste. Wie das geht? Hier die vier Varianten von schadhaften PDF-Dateien: Ausführung des Schadcodes durch…

… einmaliges anklicken des Dokuments. Der Explorer liest dann zusätzliche Informationen aus der PDF-Datei – leider auch die Schadfunktion.
… anzeigen der Datei als Thumbnail. Zum Rendern der ersten Seite muss die PDF-Datei gelesen werden – und wieder – auch die Schadfunktion.
… zeigen auf die Datei im Explorer. Das Öffnen des Tooltipp-Fensters führt die Schadfunktion auch ohne Klick aus.
… den Windows Indexing Service im System-Hintergrund ohne Zutun des Opfers.

Ein Video zu den drei ersten Methoden finden sie hier.

Aber manipulierte Dateien können einem auch den Kragen retten, weil man mit ihnen Zeit schinden kann, was natürlich absolut unethisch ist. Auf corrupted-files.com bekommt man ein defektes Word-Dokument zur Zeit im Angebot für 3,95$. Die Werbebotschaft der Seite lautet: “Email the file to your professor along with your “here’s my assignment” email. It will take your professor several hours if not days to notice your file is “unfortunately” corrupted.”

Error-Meldung im Foxit-Reader Didier Stevens reagiert und empfiehlt: Make Your Own Corrupted PDFs For Free. Alles was Sie tun müssen: Die PDF-Datei mit einem Hex-Editor öffnen und das root-Object (/Root) mit einer nicht fiktiven Referenz überschreiben. Danach lässt sich die Datei nicht mehr öffnen.