Gruppe 419: Cyber-Kriminelle werden trickreicher, aktiver und schädlicher

Bericht von paloalto Networks über gefährliches Hacker-Netzwerk aus Nigeria

[datensicherheit.de, 08.11.2016] Wer kennt nicht diese E-Mail, nach denen z.B. ein vermeintlich verstorbener Onkel oder großzügiger Unternehmer aus Afrika dem Adressaten Millionenbeträge überweise wollen? Mit solchen, oft sehr schlecht gemachten Betrugsmails ist laut einer aktuellen Stellungnahme von paloalto Networks ein Hackernetzwerk aus Nigeria, bekannt unter dem Namen „419“, vor über zehn Jahren auf Betrugstour gegangen. Seither aber hätten sich die Cyber-Kriminellen aus Afrika massiv verstärkt und aufgerüstet. Ihre wachsende Zahl an Attacken werde zunehmend professioneller und somit auch gefährlicher. Die Anti-Malware-Experten von paloalto Networks in der „Unit 42“ haben am 3. November 2016 einen umfassenden Report vorgestellt, in dem das Treiben der wohl gefährlichsten Hackertruppe aus Afrika unter die Lupe genommen wird.

100 Hackergruppen unternehmen weltweite Cyber-Angriffe

Seit über zehn Jahren treibe in Nigeria ein Netz aus Kriminellen sein Handwerk – und das online weltweit. Die fundierten Analysen von über 8.400 Malware-Dateien hätten zur Enttarnung von über 500 Domains geführt, von denen aus die rund 100 Hacker bzw. -gruppen weltweite Cyber-Angriffe starteten.
Die Breite und Tiefe der Nachforschungen ermöglicht demnach eine „hochaktuelle, umfassende Bewertung2, die sich nicht nur auf einzelne Akteure konzentriert, sondern die das gesamte Bedrohungspotenzial dieser weltweit aktiven Cyber-Kriminellen beleuchten soll.“

Malware-Angriffe in den letzten zwei Jahren zugenommen

Zusammenfassend gesagt haben die Forscher der „Unit 42“ nach eigenen Angaben beobachtet, dass sich die nigerianische Akteure von ihren traditionellen Betrugs-E-Mails im „419er-Stil“ (benannt nach dem relevanten Paragrafen 419 des nigerianischen Strafgesetzbuchs) deutlich weiterentwickelt haben.
Die Malware-Angriffe hätten in den letzten zwei Jahren kontinuierlich zugenommen – von weniger als 100 Angriffen im Juli 2014 auf ihre aktuelle Rate von 5.000 bis 8.000 pro Monat. Diese Attacken hätten weitgehend keine gezielten Opfer und konzentrieren sich weniger auf Einzelpersonen als auf Unternehmen, verteilt über alle wichtigen Branchen.
Nachdem die Hacker gelernt hätten, wie man problemlos verfügbare Malware-Tools mit Präzision erfolgreich einsetzen kann, hätten die Kriminellen hohe Umsätze erzielt, die von jeweils zehntausend bis zu Millionen von US-Dollar allein im vergangenen Jahr reichten.
Angesichts der aktuellen Erkenntnisse ist die „Unit 42“ der Ansicht, dass die bisherigen Bewertungen dieser Bedrohung nicht mehr angemessen seien und neu bewertet werden müssten. Die Akteure hätten zuletzt mehrfach gezeigt, dass sie eine gewaltige Bedrohung für Unternehmen und Regierungsorganisationen weltweit darstellten.

Umfassenden Report Anfang November 2016 vorgestellt

Der umfassende Report, den die „Unit 42“ Anfang November 2016 vorgestellt hat, beschreibt die Geschichte der nigerianischen Cyber-Kriminellen, die Taktiken, die eingesetzt werden, und gibt erstmalig Einblicke, wie die Bedrohung in Größe, Komplexität und technischer Kompetenz in den letzten zwei Jahren zugenommen hat. Darüber hinaus soll der Bericht einen detaillierten Blick auf die folgenden Aspekte bieten:

1. Profile der Akteure
   Die Zuordnung dieser Akteure habe ergeben, dass sie in erster Linie gebildet seien. Viele hätten weiterführende Schulen besucht und in technischen Bereichen studiert.
   Das Altersspektrum reiche vom späten Teenager-Alter bis Mitte 40, was eine breite Palette von Generationen abdecke. Daraus ergebe sich eine interessante Kombination: Ältere Akteure, die mit traditionellem „419er“-Betrug und „Social Engineering“ erfolgreich gewesen seien, arbeiteten jetzt mit jüngeren Akteuren zusammen, die mehr aktuelles Malware-Know-how einbrächten.
   Noch wichtiger sei, dass diese Akteure zunehmend besser organisiert seien. Sie kommunizierten mittels Sozialer Medien, um ihre Tools und Techniken zu koordinieren und zu teilen.
2. Finanzielle Schäden
   Die finanziellen Verluste hätten erhebliche Auswirkungen auf Unternehmen weltweit. Für 2015 seien in einem vom FBI Internet Cyber Crime Center veröffentlichten Jahresbericht 30.855 Opfer von herkömmlichem „419er“-Betrug und „Social Engineering“ identifiziert worden, mit Verlusten von 49 Millionen US-Dollar. Diese bereits hohe Zahl sei 2016 noch getoppt worden:
   Am 1. August 2016 hat Interpol laut „Unit 42“ die Verhaftung eines nigerianischen Akteurs vermeldet, der für weltweite Verluste von über 60 Millionen US-Dollar verantwortlich sein soll. Davon sollen über 15,4 Millionen US-Dollar allein von einem einzigen, diesem Akteur zum Opfer gefallenen Unternehmen stammen.
3. Techniken
   „Business E-Mail Compromise“ (BEC) und „Business E-Mail Spoofing“ (BES), also die Nutzung von geschäftlichen E-Mails zu Kompromittierungs- und Betrugszwecken, seien zwei Techniken, die vor Kurzem an Beliebtheit gewonnen hätten.
   Hierzu würden Domains erstellt, um legitime Unternehmen nachzuahmen. Es würden „Krypter“ verwendet, um gängige Malware zu verbergen, und andere Methoden, um innerhalb eines Opfernetzwerks Fuß zu fassen. Sobald dies gelingt, kämen Social-Engineering-Methoden zum Einsatz, um die Opfer bei der Autorisierung elektronischer Banküberweisungen zu täuschen.

Weitere Informationen zum Thema:

paloalto Networks / Unit 42
„SilverTerrier: The Next Evolution in Nigerian Cybercrime“

paloalto Networks auf YouTube, 03.11.2016
SILVERTERRIER: The Next Evolution in Nigerian Cybercrime (Unit 42)