Eine klare Ansage an alle Cyber-Kriminellen: Ihr seid nicht unsichtbar. Ihr steht nicht über dem Gesetz.

Originalartikel von Ranieri Romera (Senior Threat Researcher)

Täglich beobachten Sicherheitsforscher auf der ganzen Welt die Aktivitäten, das Verhalten, die Forenkommunikation und die Netzwerke von Cyber-Kriminellen, um herauszufinden, wie digitale Dateien sicher ausgetauscht werden können.

Neben dem Verhindern von Angriffen sammeln wir auch Informationen und geben sie an die entsprechenden Vereinigungen zur Bekämpfung von Cyber-Kriminalität bzw. an die Strafverfolgungsbehörden weiter.

Seit einer Weile schon sind wir einem ganz bestimmten Kriminellen auf der Spur, nennen wir ihn hier Herr L. Er späht nichtsahnende Anwender aus, und zwar überwiegend solche in Chile und Mexiko. Laut unseren jüngsten Informationen ist er noch immer fleißig dabei, Daten und Geld zu stehlen. Erst letzte Woche haben wir einen aktiven C&C-Server (Command-and-Control) sowie andere kriminelle Tools entdeckt, darunter auch ein Tool, das auf einer personalisierten Version des CrimePack Exploit Pack basiert. Auch bei seinen früheren Bot-Netzen ist der Kriminelle so vorgegangen.

Wir haben diese Informationen bereits an unsere Ansprechpartner bei den Strafverfolgungsbehörden weitergegeben. Wir wollen jedoch, dass auch Sie von dieser Gefahr wissen, dass Sie vorsichtig und umsichtig sind, wenn Sie verdächtige Spam-Mails erhalten oder anderes ungewöhnliches Verhalten bemerken.

Was wissen wir bisher?

Im September 2010 veröffentlichten wir ein ausführliches Forschungspapier, in dem wir die technischen Details der Bot-Netze und Toolkits dieses gewissen Kriminellen beschrieben.

Das erste Bot-Netz, das Trend Micro gefunden hatte, hieß Tequila. Darauf folgten Mariachi sowie die Twitter-Bot-Netze Alebrije und Mehika. Zusammen sind diese Bot-Netze unter dem Namen „Botnet PHP family“ bekannt.

Die Angriffe begannen im Mai 2010. Damals erhielten Anwender in Mexiko eine E-Mail, dass es angeblich „Nacktfotos“ von der Mutter eines verschwundenen vierjährigen Mädchens gäbe. Mit diesem Köder wurden die Anwender dazu gebracht, über einen bösartigen Link eine betrügerische Anwendung herunterzuladen.

Ein interessantes Ergebnis unserer Analyse war, dass das Skript, mit dem der Bot-Client installiert wurde, ganz bestimmte Wörter und Begriffe enthielt. Damals konnten wir zwar noch nichts mit ihnen anfangen, aber zumindest gaben sie uns etwas Material in die Hand.

Bei unseren Nachforschungen suchten wir nach einem aktiven C&C-Server, den wir schließlich unter http://www.botnet.{GESPERRT}.tk/Admin fanden. Unter diesem URL fanden wir weitere Informationen über den Autor … Auf der Anmeldeseite warb er sogar für seine Dienste – und veröffentlichte seinen Namen, seine E-Mail-Adressen und seine Mobilnummer!

Nun hatten wir also einen Namen, zwei E-Mail-Adressen und eine Telefonnummer, die in der mexikanischen Stadt Guadalajara gemeldet war. So gelang es uns, Herrn L. zu finden.

Wie bereits erwähnt, ist es eine Richtlinie von Trend Micro, alle relevanten Informationen zu kriminellen Aktivitäten an die Strafverfolgungsbehörden weiterzugeben.

Sollten Sie mit dem Gedanken spielen, auch kriminell tätig zu werden – tun Sie es nicht!

Uns ist Folgendes über Herrn L. bekannt:

  • Er scheint 1987 geboren zu sein und bei Netec zu studieren. Er wohnt in Zapopan, Mexiko.
  • Trend Micro kennt seine Gmail– und Hotmail-Kontodaten usw.
  • Wir kennen auch die Angaben, Fotos, Benutzernamen und anderen Informationen, die er in Kontaktnetzwerken veröffentlicht.

Wir haben uns entschieden, keine weiteren Angaben, über die man ihn persönlich ausfindig machen könnte, hier zu veröffentlichen.

Denken Sie daran: Was immer Sie im Internet tun, ob gut oder böse – Sie hinterlassen immer eine Spur.

Für Sie als unsere Kunden gilt, dass wir unser Bestes tun, um Sie zu schützen. Sie sollen wissen, dass wir unablässig daran arbeiten, für Ihre digitale Sicherheit zu sorgen. Wir nehmen kriminelle Aktivitäten genauestens unter die Lupe und arbeiten weiter mit den Strafverfolgungsbehörden zusammen, damit diese Kriminellen daran gehindert werden, Sie und Ihr privates Umfeld zu betrügen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*