Die Partnerschaft zwischen Trend Micro und NCA führt zur Festnahmen und der Schließung von Refud.me und Cryptex Reborn

Originalbeitrag von Trend Micro Senior Threat Researchern

Eine 22-jährige Frau und ein gleichaltriger Mann aus Colchester, Essex, in Großbritannien, sind festgenommen worden. Sie werden verdächtigt, zwei Services betrieben zu haben, – der bekannte Counter Antivirus (CAV)-Dienst Redfud.me und der Crypto-Service Cryptex Reborn — die in mehrere Schadsoftware-Aktivitäten involviert waren. Beide Services wurden dank der Zusammenarbeit zwischen Trend Micros Forward-Looking Threat Research Team und the National Crime Agency (NCA) zerschlagen.

Diese Schließungen stellen einen Meilenstein im Kampf gegen die Cyberkriminalität dar. Refud.me und Cryptex Reborn stellten Schlüsselkomponenten eines viel umfangreicheren Untergrund-Geschäftsmodells dar. Das Ende der beiden Services ist für den cyberkriminellen Betrieb innerhalb von Großbritannien und auch darüber hinaus sehr schmerzlich und könnte die Kriminellen dazu zwingen, Schadsoftware zu verbreiten, die einfacher zu entdecken ist.

„Diese Ermittlungen sind das Ergebnis der Zusammenarbeit von Trend Micro mit der NCA und anderen Partnern, um gegen einige der Kernkomponenten vorzugehen, die für das kriminelle Geschäft essenziell sind“, erklärte Martin Rösler, Senior Director des Forward-Looking Threat Research Team bei Trend Micro. Im Juli dieses Jahres unterzeichneten die beiden Partner eine Absichtserklärung als wichtigen Schritt im Kampf gegen die Cyberkriminalität. Teil der Erklärung war auch die Bildung eines virtuellen Teams, um neue Wege gegen bestimmte cyberkriminelle Bedrohungen zu finden. Die Verhaftungen wurden in einer gemeinsamen Presseerklärung verkündet.

Refud.me und Cryptex Reborn

Refud.me und Cryptex Reborn waren in cyberkriminellen Untergrundforen sehr aktiv. Vor allem Hackforrums.net ist für die Diskussionen über Hacking, Technik und Spiele bekannt.


Bild 1. Beispiel-Post von Refud.me Scan-Ergebnissen auf Hackforums.net

Refud.me warb auf Hackforums.net seit Ende Februar 2015 für einige neue, in dieser Zeit hinzugefügte Funktionen. Ein „scanwatch“ ist seit Ende Juni verfügbar und erlaubt das fortlaufende Scanning und die Benachrichtigung des Interessierten über den Erkennungsstatus einer hochgeladenen Datei.

Bild 2. Der refud.me Service

Refud.me liefert CAV-Scanner und gibt Nutzern die Möglichkeit, ein Sample zum Scannen hochzuladen, das dann gegen die 30 bis 40 bekanntesten Produkte von Antivirusherstellern geprüft wird. Ziel der Tests ist sicherzustellen, dass die Schadsoftware eines Autors oder Nutzern von so wenigen Produkten wir möglich erkannt wird, bevor die Malware zum Einsatz kommt. Es gibt ähnliche legale Multiscanner-Dienste, wobie der Hauptunterschied darin liegt, dass diese die Samples und das Feedback an die AV-Hersteller weitergeben und bekannt machen.

Cryptex Reborn wiederum liefert Verschlüsselungsdienste, mit denen ein besimmtes Programm, meistens Malware, so geändert wird, dass es die Erkennungs-Engines der AV-Hersteller umgehen kann. Eine derart veränderte Schadsoftware, die von den AV-Produkten nicht mehr erkannt wird, nennt man FUD (Fully UnDetectable). Dabei werden die fortschrittlicheren heuristischen Funktionen moderner AV-Engines nicht berücksichtigt.

Das Cryptex Reborn Toolkit hat mehrere Updates hinter sich. Das Originalwerkzeug „Cryptex“ stammt wahrscheinlich aus dem Oktober 2011. Danach wurde es in zwei Varianten weitergeführt, „Cryptex Lite” und „Cryptex Advanced“, mit unterschiedlichem Funktionsumfang. Beide Tools sind wiederholt überarbeitet worden, um die Verbesserungen in AV-Engines zu umgehen. Die aktuelle Version des Toolkits Cryptex Reborn stammt aus dem September 2014.

Bild 3. Werbung für das Tool

„Diese Unterstützung beim Schließen solcher Aktivitäten ist Teil unserer Arbeit daran, einen sicheren Austausch digitaler Informationen in der Welt zu ermöglichen, sowohl für unsere Kunden als auch allgemein im Internet“, betont Martin Rösler.

Trend Micro glaubt daran, dass die öffentliche Zusammenarbeit mit privaten Institutionen ein Schlüsselelement für eine nachhaltige Lösung gegen Cyberkriminalität darstellt. Im Oktober arbeitete Trend Micro mit dem Federal Bureau of Investigation (FBI) und einigen Sicherheitsanbietern zusammen, um das DRIDEX-Botnet, bekannt für die Angriffe auf Banken, vom Netz zu nehmen. Auch hat es eine Partnerschaft mit International Criminal Police Organization (INTERPOL) und weiteren Anbietern gegeben, im Rahmen derer das SIMDA-Botnet unschädlich gemacht wurde.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.