Der estnischen Cyber-Mafia auf den Fersen

Der Rechenzentrenbetreiber in San Francisco schöpft Verdacht: Auf seinen Servern, die von einer estnischen Firma angemietet wurden, spielt sich Suspektes ab. Er nimmt die Rechner vom Netz und überlässt sie den Malwareforschern von Trendmicro. Diese führen eine forensische Analyse durch und entdecken eine ganze Cybercrime-Industrie.

«Wir hatten somit das Glück ins Innere einer solchen cyberkriminellen Firma zu sehen», erklärt Rainer Link, Virenforscher bei Trend Micro, im Gespräch mit Computerworld. Er hat zusammen mit zwei Kollegen die Ergebnisse seiner zweimonatigen Detektivsarbeit im White Paper «A Cybercrime Hub» zusammengefasst.

«Uns gelang es herauszufinden, welche Applikationen von einem solchen Unternehmen benutzt werden und wie dessen Infrastruktur aussieht», berichtet Link. Dabei führte das Unternehmen mit Sitz im estnischen Universitätsstädtchen Tartu ein wahres Doppelleben. Zum einen habe dieser Internetprovider reguläre Kunden gehabt, die ihre Seiten bei ihm hosten liessen. Andererseits aber auch , die alle Register der Cyberkriminalität zogen, führt er aus.

Die Firma verdeutlicht zudem, welche Methoden in der Hacker- und Malware-Szene derzeit besonders en vogue sind. So wurde massenhaft falsche Antiviren-Software verteilt, die vorgibt, dass der PC des Anwenders mit Malware verseucht ist und er deshalb ein jährliches Abo der Sicherheits-Software benötigt. Ebenfalls sehr beliebt ist das Ersetzen regulärer Werbebanner auf bekannten Webseiten durch Anzeigen für Potenzmittel und Kasinos. Schliesslich werden zunehmend Google-Abfragen gekapert. Die präsentierten Links führen dann oft zu Malware-Infektionen.

Bericht über den estnischen Cybercrime-Umschlagplatz