Malware-as-a-Service
Geschäftsmodell aus dem Dark-Web
Gefühlt ist heutzutage nahezu alles als Service zu beziehen. So treffen Anwender überall auf das Kürzel „aaS“ für „as a Service“, in erster Linie im Software-Bereich. Unternehmen ziehen großen Nutzen aus servicebasierten Konzepten. Sie werden flexibler, agiler und sparen bares Geld. Ein großer Vorteil ist, dass für die Nutzung unterschiedlichster spezieller Anwendungen weder Know-how noch Ressourcen aufgebaut werden müssen.
Es war nur eine Frage der Zeit, bis dieses Prinzip von Cyberkriminellen als Geschäftsmodell entdeckt wurde. Mit Malware-as-a-Service (MaaS) werden auch Amateure und nur grundlegend IT-affine dunkle Gestalten in die Lage versetzt, auf illegale Weise einen schnellen Euro zu verdienen.
Hohe Anreize für Täter
Ganz neu ist das Konzept nicht, bereits in den neunziger Jahren sind die ersten Viren-Generatoren durch das Netz gegeistert, und bereits 2007 betrieb Fake Antivirus das erste MaaS-Netz mit ähnlicher Struktur wie ein offizielles Softwareunternehmen. Die Dimmensionen haben sich aber verändert: Schätzungen reichen bis in die Milliarden, aber aufgrund der undurchsichtigen Struktur kann keine wirklich seriöse Zahl angegeben werden. Ein Hacker, der einen Zero-Day-Exploit entdeckt, kann auf diesem Schwarzmarkt bis zu 100 mal höhere Gewinne erzielen als er als Vergütung für die Entdeckung durch die betroffenen Hersteller erwarten kann. Dies bietet einen hohen Anreiz für Anbieter und Kunden, und verleiht dem Markt eine hohe Dynamik.
MaaS ist ein gut funktionierender Schwarzmarkt. Zumeist über das Tor-Netz finden Möchtegern-Cyberkriminelle eine Auswahl an Schadsoftware zu unterschiedlichen Preisen, die genau wie in der echten Welt steigen und fallen, je nach Angebot und Nachfrage, und nahezu täglich warten Innovationen auf den Kunden. Im Zuge dieser Entwicklung haben sich auch die Anbieterstrukturen gewandelt: Während vormals hauptsächlich Einzeltäter mit dieser Art Geschäftsmodell ihr zweifelhaftes Zubrot verdienten, wird der MaaS-Markt inzwischen häufig von Netzwerken dominiert, die mit der organisierten Kriminalität gleichzusetzen sind.
Die Pyramide der Akteure
Um aus einem Zero-Day-Exploit ein funktionierendes Business zu machen, gilt es, mehrere Hürden im Hinblick auf die Vermarktung zu nehmen. Das Ökosystem des MaaS-Marktes gleicht in ihrem Aufbau in etwa einer Pyramide. Die Basis bilden die Kunden, also die Käufer und damit die Angreifer. Der Mittelteil besteht aus Händlern und Mittelsmännern, die die unterschiedlichen Komponenten und Vermarktungspakete schnüren – dies reicht von Vermarktungsstrategien und Zahlungswegen bis hin zu Helpdesks und Service-Centern, an die Kunden sich bei Problemen und Fragen wenden können, genau wie in der legalen Softwareindustrie. Die Mittelsmänner bieten Käufern oftmals Full-Service: Sie verkaufen nicht nur den Code, sie bieten Unterstützung bei der Installation, ermöglichen den Zugriff auf Botnets für das Spamming und Hosting der Malware und unterstützen beim Unterlaufen von Anti-Viren-Systemen bei den Opfern. Die wichtigsten Akteure des MaaS-Marktes sitzen an der Spitze der Pyramide: Es sind die Entwickler der Malware, teilweise sogar Wissenschaftler, die offiziell forschen und sich mit komplexen Aufgaben wie dem Reverse-Engineering beschäftigen.
Die Vermarktung von Malware-Toolkits erfolgt im Verborgenen, teilweise in Netzwerken, zu denen nur derjenige Zugang erhält, der von einem vertrauenswürdigen Mitglied eingeladen wird. Dabei agieren die Communitys in den dunkelsten Ecken des Dark Web, die sich durch verschiedene Art auch der Entdeckung durch Behörden oder Sicherheitsunternehmen entziehen. Sie nutzen für die Kommunikation mehrfach redundante VPN-Dienste oder Proxy-Netzwerke, die es unmöglich machen, den Serverstandort zu identifizieren. Für die Kommunikation zwischen Kunde und Helpdesk kommen ICQ und Jabber zum Einsatz. Manchmal kommt es vor, wie beim Trojaner „Zeus“, dass ein Käufer die Malware öffentlich bereitstellt, und auf diese Weise Softwareunternehmen und Strafverfolger auf die Spur der Kriminellen bringt. Auch müssen die Akteure darauf achten, dass die Malware selbst nicht zu viel Aufmerksamkeit auf sich zieht.
Dazu beobachten sie die Fortschritte ihrer Kunden und stoppen die Malware-Verbreitung wenn sie sehen, dass sie zu viele Opfer auf einmal angreifen oder generell für zu viel Aufsehen sorgen.
- Geschäftsmodell aus dem Dark-Web
- Dynamische Märkte
- Checkliste – welche Features benötigt eine moderne Sicherheitslösung
Lesen Sie mehr zum Thema
